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Resumo 


Quando um esquema criptográfico é definido sobre um grupo, criptografar mensagens 
equivale a fazer com que variáveis de alguma equação tomem valores nesse grupo, enquanto 
que quebrar esse esquema significa “descobrir” quais valores as variáveis tomaram. Portanto, a 
segurança de tais esquemas está associada à dificuldade de se resolver equações sobre grupos. 
A utilização de grupos livres seria uma possível solução para esse problema; entretanto, apenas 
equações “triviais” podem ser resolvidas sobre grupos livres. Além disso, os grupos livres são 
infinitos, o que não é interessante do ponto de vista computacional. 

Uma alternativa foi proposta por Susan Hohenberger em 2003, dando origem à noção 
de “grupos pseudo-livres”, refinada posteriormente por R. Rivest. Informalmente, um grupo 
pseudo-livre caracteriza-se por não poder ser distinguido, de modo eficiente, de um grupo 
livre. Do ponto de vista computacional, isto significa que a probabilidade de que se resolva 
uma equação não trivial sobre um grupo pseudo-livre é desprezível. Dessa forma, encontramos 
um ambiente adequado para lidarmos com questões de segurança de esquemas criptográficos. 

Dois conceitos merecem destaque nesse contexto. O conceito de grupos pseudo-livres, 
como veremos a seguir, é de fundamental importância para a criptografia moderna, enquanto 
que o conceito de primos seguros tem sua relevância associada ao criptossistema RSA. 

Este trabalho tem três objetivos principais. Inicialmente estaremos interessados em estudar 
alguns dos chamados problemas computacionalmente difíceis e sua utilização na construção 
de esquemas criptográficos seguros. Um outro objetivo é o estudo detalhado do Teorema de 
Micciancio sobre grupos pseudo-livres. Finalmente, voltaremos nossas atenções para a geração 
de primos seguros, pois estes estão diretamente relacionados com a segurança do criptossistema 
RSA. Em particular, propomos um novo algoritmo para geração de primos seguros que, através 
de um teorema devido a Euler e Lagrange e da lei de reciprocidade quadrática de Gauss, evita 
em grande parte os testes de primalidade. 

Palavras-chave: RSA, grupos pseudo-livres, primos seguros 
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Abstract 


When a cryptographic scheme is defined over a group, encrypting messages is equivalent to 
assigning values in this group to variables of some equation, whereas breaking this scheme 
is “to discover” which values were assigned to those variables. Therefore, the security of 
such schemes is connected to the hardness to solve equations over groups. The use of free 
groups would be a possible solution to this problem; however, only “trivial” equations can be 
solved over free groups. Moreover, free groups are infinite and this is not interesting from a 
computational perspective. 

An alternative solution was proposed by Susan Hohenberger in 2003, originating the notion 
of “pseudo-free groups”, wich was improved by R. Rivest. Informally, a pseudo-free group is 
characterized by the fact that it cannot be distinguished, in an efficient way, from a free group. 
From a computational point of view, this implies that the probability of solving a non-trivial 
equation over a pseudo-free group is negligible. So, this is a suitable environment to deal with 
questions about security of cryptographic schemes. 

Two notions deserve to be pointed. The notion of pseudo-free groups is essential to modem 
cryptography whereas the notion of safe primes is relevanto to the RSA cryptosystem. 

Our work has three main objectives. We start studying some of so called computationally 
hard problems and its use to develop safe cryptosystems. The second objective is the detailed 
study of the Micciancio’s theorem on the pseudo-freeness of the RSA groups. Finally, we will 
study the generation of safe primes, because these numbers are related to the RSA security. In 
particular, we propose a new algorithm to generate safe primes wich uses a theorem from Euler 
and Lagrange and the Gauss’s quadratic reciprocity law to avoid most primality tests. 

Keywords: RSA, pseudo-free groups, safe primes 
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Capítulo 1 


Introdução 


Não deixaremos de explorar e 
ao término da nossa exploração 
deveremos chegar ao ponto de partida 
e conhecer esse lugar pela primeira vez. 

-T S. ELIOT 


O uso da criptografia teve início com os egípcios, ainda que de forma rudimentar, há 
cerca de 4000 anos. Desde então esse ramo da matemática aplicada não pára de crescer. 
Entretanto, foi a partir da década de 1960, com a proliferação dos computadores, que se 
tornaram cada vez mais comuns a comunicação e o comércio digital e com eles a procura 
por serviços seguros. Isto deu um novo impulso à criptografia, culminando em 1977 no RSA 
(desenvolvido por R. Rivest, A. Shamir e L. Adleman), que é um dos esquemas criptográficos 
mais utilizados atualmente. 

Os processos de cifrar e decifrar mensagens são, em um certo sentido, inversos um do 
outro. Essa necessidade de inversão torna a estrutura algébrica de grupo um possível ambiente 
para o desenvolvimento da criptografia moderna. Atualmente existem inúmeros algoritmos 
criptográficos e que têm como suporte os mais variados exemplos de grupos. 

Um dos principais criptossistemas utilizados atualmente é o RSA, definido sobre os grupos 
Z iV> onde N = pq é produto de dois primos. Trabalhos recentes indicam que tipos de primos 
são mais apropriados para garantir uma relativa segurança a esses criptossistemas. Questões 
sobre a segurança do RSA serão nosso principal objetivo nesse trabalho. 


1.1 Organização do trabalho 

O presente trabalho está organizado do seguinte modo: 

No capítulo 2, Uma breve viagem pelo mundo da criptografia, como o próprio nome diz, 
faremos uma breve discussão sobre a evolução dos esquemas criptográficos. É nesse capítulo 
que será introduzida a terminologia utilizada atualmente em criptografia. Daremos também 
uma visão geral dos aspectos mais importantes da criptografia moderna. 
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1.2 Contribuições deste trabalho 


O capítulo 3, Fundamentos teóricos, tem como objetivo apresentar os principais conceitos 
teóricos e resultados relacionados necessários para o desenvolvimento desse trabalho. 

O capítulo 4 será dedicado ao estudo dos chamados problemas computacionalmente difíceis. 
Nesse capítulo estudaremos a relação entre esses problemas e a segurança de alguns dos 
criptossistemas associados a eles. 

O capítulo 5, por sua vez, trata da noção de grupos pseudo-livres. Embora recente, esse 
conceito mostra-se promissor por permitir uma generalização de muitas das hipóteses 
criptográficas assumidas atualmente. O ponto principal desse capítulo é a prova de que o grupo 
sob certas condições, é pseudo-livre. 

No capítulo 6, Primos seguros, faremos um estudo de algumas das principais propriedades 
desses números primos especiais. Os únicos exemplos que se conhece de grupos pseudo-livres 
são os grupos dos elementos inversíveis de onde N é produto de dois primos seguros. Isto 
evidencia a importância desses números para a criptografia RSA. Ainda nesse capítulo serão 
apresentados algoritmos para a geração de primos seguros, um dos quais é inédito. 

O capítulo 7 será dedicado a algumas Conclusões relativas ao estudo de criptossistemas 
e previsões de Trabalhos futuros, destacando possíveis desdobramentos desta dissertação. 


1.2 Contribuições deste trabalho 

Devido à importância já mencionada dos primos seguros para a criptografia RSA, existe 
atualmente uma grande necessidade de algoritmos rápidos para a geração de tais números. 
Para isso diversas classes de algoritmos são utilizadas. Entretanto, praticamente todos eles têm 
nos testes de primalidade seu principal problema. Embora tenha sido provado em 2001 que é 
possível decidir se um inteiro é primo em tempo polinomial (ver [1]), os algoritmos para isso 
ainda são bastante ineficientes. A principal contribuição desse trabalho é o desenvolvimento 
de um novo algoritmo para a geração de primos seguros que evita grande parte dos testes de 
primalidade utilizados pelos algoritmos tradicionais. 
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Capítulo 2 


Uma breve viagem pelo mundo da criptografia 


Eu viajo não para ir a lugar algum, mas para ir. 

Eu viajo pelo propósito de viajar. 
A grande sedução é se mover. 
- ROBERT LOUIS STEVENSON 


2.1 Introdução 

Os primeiros relatos sobre códigos secretos de que se tem conhecimento datam da época de 
Heródoto (considerado o “pai da história”). Desde então, as técnicas para a produção de escritas 
secretas, assim como suas aplicações, têm sido desenvolvidas e aperfeiçoadas continuamente. 
Em princípio, sua utilização era quase totalmente restrita a fins militares, sempre com o intuito 
de obter alguma vantagem sobre o inimigo; vantagem esta que, em alguns casos, decidiram 
batalhas. Um exemplo disso, conforme nos conta o próprio Heródoto, em sua obra As Histórias, 
é o desfecho da guerra entre gregos e persas no século V a.C. A vitória dos gregos só foi 
possível devido ao conhecimento dos planos do inimigo. Um espião grego, infiltrado entre os 
persas, enviava informações que eram escritas em tabuletas de madeira e depois cobertas com 
cera, dando a impressão de que as tabuletas estavam em branco, sendo assim “inofensivas”. 

A técnica de ocultar uma mensagem é conhecida como esteganografia. Esta palavra é 
derivada das palavras gregas steganos (encoberto) e graphein (escrita). Foram muitas as formas 
de esteganografia desenvolvidas, entretanto essa técnica tinha uma grande fraqueza: caso fosse 
descoberta, o conteúdo da mensagem e, possivelmente, seu emissor, seriam decobertos. Por 
essa razão, paralelamente ao uso da esteganografia, desenvolveu-se a chamada criptografia. A 
origem desse termo são as palavras gregas kriptos (escondido) e graphein (escrita). Com o 
uso de técnicas de criptografia e esteganografia combinadas pode-se, além de esconder uma 
mensagem, proteger seu significado. Assim a mensagem será ilegível, ainda que tenha sido 
descoberta. O processo de criptografar uma mensagem é também conhecido como cifragem ou 
encriptação. 

Os primeiros esquemas criptográficos eram relativamente simples. Um dos mais antigos 
que conhecemos, segundo [45], é chamado de Cifra de César. Este método de cifrar mensagens 
consiste em substituir uma letra de um alfabeto por outra através de um deslocamento cíclico 
nesse alfabeto. O esquema a seguir, com deslocamento 3, é o que era usado pelo imperador 
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2.2 Definição e objetivos da criptografia 


Júlio César [45]. 


j CIFRA DE CÉSAR j 

Letra do alfabeto 

A 

B 

C 

D 

E 

F 

G 

H 

I 

J 

K 

L 

M 

Substituir por 

D 

E 

F 

G 

H 

I 

J 

K 

L 

M 

N 

0 

P 

Letra do alfabeto 

N 

0 

P 

Q 

R 

S 

T 

U 

V 

W 

X 

Y 

Z 

Substituir por 

Q 

R 

S 

T 

U 

V 

W 

X 

Y 

z 

A 

B 

C 


Tabela 2.1 Cifra de César com deslocamento 3 


Utilizando a cifra de César, o texto IMPERADOR DE ROMA seria cifrado como 
LPSHUDGRU GH URPD 


2.2 Definição e objetivos da criptografia 

Menezes, Oorschot e Yanstone [30] dão a seguinte definição de criptografia: 


Definição 2.1 (Criptografia). É o estudo de técnicas matemáticas relacionadas a aspectos de 
segurança da informação tais como confidencialidade, integridade de dados, autenticação de 
entidades e da origem de dados. 

Ainda, de acordo com [30], os objetivos de um esquema criptográfico são os descritos 
como: 

(1) Confidencialidade. Também chamada de privacidade, significa manter o conteúdo de 
uma informação fora do alcance de todos, exceto das pessoas autorizadas. 

(2) Integridade de dados. Tem a função de detectar qualquer alteração não autorizada de 
mensagens, tais como inserção, remoção ou substituição de cadeias de caracteres. 

(3) Autenticação. Está relacionada com identificação. Ocorre em dois níveis: autenticação 
das partes (as partes que estão se comunicando devem identificar-se) e autenticação da 
origem dos dados. 

(4) Não repudiação. Assegura que a autoria de uma mensagem não possa ser negada. Dessa 
forma, o autor de uma mensagem não pode isentar-se de compromissos ou implicações 
decorrentes do conteúdo de sua mensagem. Como exemplo, digamos que o emissor 
compromete-se a fazer o pagamento correspondente a aquisição de determinado produto; 
a característica de não repudiação é o que permite identificar o autor no caso de disputa 
judicial pelo não cumprimento desse acordo. 
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2.3 Tipos de cifras 


2.3 Tipos de cifras 

Existem basicamente dois modos de cifrar uma mensagem. Um deles é usando substituição 
onde, como o próprio termo diz, as letras e símbolos de um alfabeto são substituídos por outras 
letras e símbolos desse ou de outro alfabeto. As cifras de substituição podem ser classificadas 
em quatro grupos: 


Substituição monoalfabética 

Nesse tipo de cifragem é estabelecida uma bijeção entre as letras do alfabeto original e as 
de algum alfabeto (não necessariamente distinto). Cada letra do texto é então substituída pela 
sua correspondente via essa bijeção. 

• A cifra de César é um exemplo de cifra de substituição monoalfabética. 


Substituição polialfabética 

O texto original é dividido em vários grupos de letras e para cada um desses grupos é feita 
uma substituição monoalfabética distinta. 

• O representante mais conhecido desse modelo de cifragem é a Cifra de Vigenère que 
por muito tempo foi chamada de a cifra indecifrável [45]. 


A técnicas de substituição foram utilizadas durante muitos séculos até que uma invenção 
de criptoanalistas (aqueles que decifram códigos) árabes, que recebeu o nome de análise de 
feqüências, passou a ser utilizada para decifrar mensagens. Um dos trabalhos pioneiros em 
criptoanálise usando esse método pode ser encontrado na obra Um manuscrito sobre decifração 
de mensagens criptográficas do estudioso árabe Al Kindi, datado do século IX a.C. 

A análise de frequências de um idioma identifica a frequência com que uma letra ou grupo 
de letras ocorre nesse idioma. Embora não se possa determinar essas frequências com exatidão, 
a análise de um grande número de textos, escolhidos de forma aleatória, dá uma boa idéia de 
quais letras ou símbolos ocorrem mais frequentemente. Assim, quando um texto em português 
é cifrado dessa forma, a letra ou símbolo mais frequente corresponderá, muito provavelmente, 
à letra A, o segundo ao E e assim por diante. Com essa invenção árabe as cifras de substituição 
não podiam mais ser consideradas seguras. Sendo assim surgiram novos modelos de cifra de 
substituição: 


Substituição homofônica 

Nesse modelo cada letra está associada a várias outras que são utilizadas durante a cifragem. 
Pode-se, por exemplo, associar a cada letra aproximadamente tantos símbolos quanto for sua 
freqüência. Dessa forma cada letra terá freqüência aproximadamente igual a 1. 
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2.4 Cifragem simétrica x cifragem assimétrica 


Substituição poligrâmica 

Aqui as letras não são mais substituídas individualmente, mas em grupos maiores. Por 
exemplo, pode-se substituir um par de letras por outro par de letras. Nesse caso, dispomos de 
26 x 26 = 676 símbolos distintos. 


Outro modelo de cifragem é formado pelas chamadas cifras de transposição. Estas cifras 
consistem em permutar as letras e símbolos que compõem uma mensagem segundo alguma 
regra conhecida pelo emissor e pelo receptor dessa mensagem. Mesmo para um texto pequeno, 
existe um número muito grande de transposições possíveis. O texto 

CIFRASDETRANSPOSIÇÃO 

por exemplo, admite cerca de 2,5 x 10 16 transposições distintas, o que torma extremamente 
difícil saber que 

TORDC AS OINRASFIAPSEC 


é uma dessas transposições. 


2.4 Cifragem simétrica x cifragem assimétrica 

A informação que permite decifrar uma mensagem é conhecida como chave. Na cifra de 
César, por exemplo, a chave é saber o deslocamento que foi feito. Numa transposição a chave 
é a regra utilizada para permutar as letras. 

De acordo com o tipo de chave utilizada, um esquema criptográfico pode ser simétrico ou 
assimétrico. Em um esquema simétrico a mesma chave é utilizada tanto para cifrar, quanto 
para decifrar uma dada mensagem. Considere, por exemplo, a seguinte “regra” de cifragem: 

Adicione, se necessário, um caractere ao texto para que este contenha um número par 
de caracteres. Divida o texto em pares de caracteres consecutivos. Em seguida, permute os 
caracteres de cada par. 

Com esse esquema, o texto “SIMÉTRICOS” é cifrado como “ISEMRTCISO”. É fácil notar 
que o mesmo esquema reverte o processo. 

Até metade da década de 1970 os esquemas de cifragem utilizados eram simétricos. Tais 
sistemas eram confiáveis, entretanto surgiu um problema no estabelecimento das chaves. Como 
duas pessoas quaisquer, que poderiam estar em quaisquer pontos do planeta, concordariam 
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2.4 Cifragem simétrica x cifragem assimétrica 


sobre a chave que seria utilizada? Como fazer isto mantendo absoluto segredo? Este é chamado 
de problema da distribuição (ou troca) de chaves. Como diz Singh [45]: 

Todo problema de distribuição (de chaves) é uma clássica situação de beco sem 
saída. Se duas pessoas querem trocar mensagens secretas, o remetente deve 
cifrá-las. Para cifrar a mensagem secreta ele deve usar uma chave, também 
secreta. Daí surge o problema de transmitir uma chave secreta ao receptor. 
Resumindo, antes que duas pessoas possam partilhar um segredo (a mensagem), 
elas devem partilhar outro segredo (a chave). 


O problema da distribuição de chaves era, até então, o grande problema da criptografia. Isto 
durou até o ano de 1976 quando W. Diffie e M. Hellman publicaram o artigo New Directions 
in Cryptography [13], onde descreviam uma solução para o problema da troca de chaves. 

Embora a solução seja simples, a idéia levou séculos para ser concebida. Este é o modelo 
por eles proposto: 


Esquema Diffie-Hellman para troca de chaves 

Digamos que duas pessoas, A e B, queiram estabelecer uma chave comum para troca de 
mensagens cifradas. 

(1) A e B escolhem, de comum acordo, um primo p e um gerador g do grupo cíclico Z*, 
ambos não necessariamente secretos. 

(2) A escolhe (secretamente) um inteiro * e envia para B o número g x (mod p). 

(3) B escolhe (secretamente) um inteiro y e envia para A o número g y (mod p). 

(4) Ao receber g y (mod p) de B, A calcula a “chave” 

k a = (g y ) x (mod p) = g xy (mod p) = K. 

Depois disso v não é mais necessário. 

(5) Ao receber g x (mod p) de A, B calcula a “mesma chave” 

Kb = ( g x ) y (mod p) = g xy (mod p) = K. 

Depois disso y não é mais necessário. 
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2.4 Cifragem simétrica x cifragem assimétrica 


Durante o processo os valores de g x (mod p) e g y (mod p) são públicos. Nesse caso, o 
conhecimento de x (ou de y) dá a quem o possui o valor da chave K. Caso um indivíduo 
conheça, por exemplo, o valor de x, ele pode calcular a chave K do mesmo modo que A. 

O problema de se encontrar o valor de x a partir de g e g x (mod p) é conhecido como 
Problema do logaritmo discreto (PLD ), que é considerado um problema computacionalmente 
difícil. No capítulo 4 estudaremos, em mais detalhes, a noção de computacionalmente difícil e 
alguns problemas relacionados. 

Ainda em seu artigo, Diffie e Hellman propõem a chamada criptografia assimétrica ou de 
chave pública. Embora não dispusessem de um modelo concreto, o conceito de criptografia 
assimétrica já era, por si mesmo, revolucionário. Nesse modelo, o receptor produz duas chaves. 
Uma delas é mantida em segredo (chave privada) enquanto que a outra deve ser conhecida 
por qualquer um que deseje enviar-lhe uma mensagem (chave pública). A idéia é que uma 
mensagem cifrada com a chave pública pode ser decifrada apenas pelo receptor com sua chave 
privada. 

Não demorou muito até que o primeiro modelo de sistema de chave pública fosse concebido. 
Em 1977, Ronald Rivest, Adi Shamir e Leonard Adleman anunciaram a criação do esquema 
criptográfico que foi batizado de RS A [41]. Embora existam outros criptossistemas de chave 
pública, tais como o ElGamal, Rabin, Merlde-Hellman, Goldwasser-Micali, o RSA tomou-se 
o mais amplamente usado entre todos. A seguir é dada uma descrição de seu funcionamento: 


Sistema de chave pública RSA 
• Parâmetros 

(1) São escolhidos dois números primos ímpares p e q. Em seguida, calculam-se os números 

N = pq e <j>(N) = (p-l)(q-l). 

(2) Escolhe-se um inteiro d tal que 

1 <d<ty(N) e mdc(d,<j)(N)) = 1. 

(3) Calcula-se o (único) inteiro e, entre 1 e <j>(N), tal que 

d.e= 1 (mod 

(4) Publica-se o par ( N , e) que será a chave pública do sistema e mantém-se em segredo a 
chave privada d. 




2.5 Assinaturas digitais 


• Funcionamento 

Suponha que o indivíduo A deseja cifar uma mensagem .M e enviá-la para B. Inicialmente 
.J{ é convertida em um inteiro M por algum processo. 

(1) A calcula C = M e (mod N) e o envia para o receptor B. 

(2) O receptor B, ao receber C, calcula C d (mod N)—M ed (mod N ) = M. 


A última igualdade decorre das propriedades da função <j) de Euler (ver 3.5). 

Observe que, em parte, a segurança do RSA está associada à dificuldade de alguém não 
autorizado conseguir descobrir o valor do parâmetro d. Trataremos de questões como essa no 
capítulo 4, quando estudarmos alguns problemas computacionalmentes difíceis associados ao 
RSA. 


2.5 Assinaturas digitais 

Um outro aspecto importante da criptografia moderna é a chamada assinatura digital. 
Em muitas das transações realizadas por meios eletrônicos, as partes envolvidas precisam 
certificar-se sobre a autoria das mensagens. 

Quando tratamos de documentos escritos ou impressos, a assinatura feita “à mão” é o que 
assegura a autoria do documento. Embora medidas de segurança sejam adotadas, é possível 
que alguma assinatura forjada não seja detectada. A abordagem utilizada para lidar com 
questões de autenticidade de assinaturas digitais, assim como no caso das cifragens, é baseda na 
chamada complexidade computacional. Informalmente, segundo Goldreich [17], um esquema 
de assinaturas digitais tem três pré-requisitos: 


(1) Cada usuário deve ser capaz de gerar, de modo eficiente, sua própria assinatura. 

(2) Cada usuário deve ser capaz de verificar, de modo eficiente, se uma dada assinatura 
pertence a determinado usuário. 

(3) O processo de forjar uma assinatura não pode ser executado de modo eficiente. 


Nos itens anteriores, a afirmação de que algo pode ser executado de forma eficiente significa 
dizer que a computação necessária para essa tarefa pode ser executada em tempo polinomial 
probabilístico (ver 4.1.3). 

A utilização de criptografia de chave pública proporciona um esquema de assinatura digital 
de simples implementação. 
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2.5 Assinaturas digitais 


Assinatura digital utilizando criptografia de chave pública RSA 

Suponha que um usuário A deseja enviar uma mensagem assinada para outro usuário B. 
Digamos que suas chaves públicas sejam, respectivamente, (Na^a) e (/Vg, <?#), enquanto que 
<1a e dfí são suas chaves privadas. 

(1) Dada a mensagem M, A calcula S = M ÚA (mod Na). 

(2) A cifra S com a chave pública de B, produzindo C = S eB (mod Nb) que é enviado para B. 


Note que A é o único usuário que conhece d a, sendo, portanto, o único capaz de produzir 
S. Assim, S é uma assinatura da mensagem M, produzida por A. Quando decifra C com sua 
chave privada dg, B obtém 


C d * (mod N b ) = (S efs ) dfi (mod N B ) = S. 

Nesse ponto, como a chave pública é a única que pode reverter d a, B calcula 

S eA (mod N a ) = (M dA ) eA (mod N A ) = M. 

Ao obter a mensagem legível M, B tem a certeza de que esta foi escrita por A. 


Finalizamos este capítulo fazendo algumas considerações sobre a segurança dos sistemas 
de criptografia de chave pública RSA. 

Considere uma instância do RSA com parâmetros p, q (primos ímpares distintos), N = pq, 
(j)(N) = (p — \ )(q — \ ), e, d, com ed = 1 (mod <j>(N )). Um modo óbvio de conseguir decifrar 
uma mensagem é obtendo o parâmetro d. Como o valor de e é público, pode-se tentar resolver a 
equação ed = 1 (mod 0 ( N )). Para isso é necessário conhecer o valor de </> ( N ). Caso os primos 
peq sejam conhecidos, pode-se facilmente calcular esse valor, pois 

<j>(N) = (p-l)(q-l) = pq-p-q+l=N+l-{p + q). 


Sendo N — pq público, p e q podem ser obtidos se N puder ser fatorado. Entretanto, 
ainda não se conhece um algoritmo eficiente para fatoração de inteiros. Este é, como veremos 
no capítulo 4, mais um problema computacionalmente difícil. Isto significa que o tempo 
necessário para fatorar o inteiro N é muitas vezes maior do que o tempo de “vida útil” da 
mensagem. Portanto, pode-se dizer que a segurança do RSA reside, pelo menos em parte, no 
fato que fatorar inteiros tem custo computacional muito elevado. 
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Capítulo 3 

Fundamentos teóricos 


Deus fez os números naturais; 
todo o resto é obra dos homens. 
- LEOPOLD KRONECKER 


Este capítulo tem como principal objetivo, descrever os principais resultados teóricos 
que serão úteis nos capítulos posteriores, bem como fixar a notação a ser utilizada. 


3.1 Cardinalidade de conjuntos 

Dado um conjunto A, sua cardinalidade indica o número de elementos que fazem parte 
desse conjunto. Usaremos a notação \A\ para indicar cardinalidade. 


3.2 Divisibilidade 

Dizemos que o inteiro a é divisível pelo inteiro b (ou que b é divisor de a ou ainda que a 
é múltiplo de b) quando existe um inteiro c tal que a = b c. Usaremos a notação b \ a para 
indicar que b é divisor de a; caso contrário, escreveremos b\a. 


3.3 Congruências 

A noção de congruência foi introduzida por Gauss em sua notável obra Disquisitiones 
Arithmeticae [16]. Dois inteiros a e b são ditos congruentes módulo o inteiro positivo n 
quando esses deixam o mesmo resto na divisão por n. Equivalentemente, dois inteiros a e 
b são congruentes módulo n quando a — bé múltiplo de n. 

A notação a = b (mod n), criada por Gauss, é utilizada até hoje para indicar congruência 
de inteiros. Escrevemos a (mod n) — b para indicar que b é o resto da divisão de a por n. 
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3.4 O pequeno teorema de Fermat 


3.4 O pequeno teorema de Fermat 

Em uma carta a seu amigo Frénicle de Bessy, datada de 18 de Outubro de 1640, Pierre de 
Fermat afirma: 

p divide a p ~ l — 1 sempre que p é primo, com a e p primos entre si. 

Em notação moderna temos (ver [11]) 


Teorema 3.1 (Pequeno teorema de Fermat (PTF)). Se pé um número primo e mdc(a, p)= 1, 
então a p ~ l = 1 (mod p). 

A primeira prova desse resultado foi publicada em 1736 por F. Eulerno artigo Theorematum 
Quorundam ad Numeros Primos Spectantium Demonstratio. 

O menor inteiro positivo r tal que a r = 1 (mod p) é chamado de ordem de a módulo p. 


3.5 O teorema de Euler 


A função de Euler, (j) : N — {0} —> N, é definida por 


ty(n) = \{xeN: 1 <x<ne mdc(v,n) = 1}|, 

ou seja, (j)(n) é a quantidade de inteiros entre 1 e n que são primos com n. Conhecendo a 
fatoração de n em fatores primos, n — /?“' p® 2 ■ ■ ■ p% k , tem-se 


o: '" = "(' /!,) 

Vale o seguinte resultado (ver [11]): 




Teorema 3.2 (Euler). Semdc(a,n ) = 1, então = 1 (mod n ). 

Observando que, para p primo, tem-se <j>(p) = p — 1, podemos dizer que o Teorema de 
Euler é uma generalização do Pequeno teorema de Fermat. 

Uma outra consequência do Teorema de Euler que permite a decifragem do criptossistema 
RSAé 

Corolário 3.1. Se mdc(a, n) = \ e x = y (mod <j>(n)), então a x = a y (mod n ). 
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3.6 0 teorema chinês dos restos 


3.6 O teorema chinês dos restos 

Utilizado em alguns esquemas criptográficos, este resultado estabelece condições para que 
um sistema de congruências tenha solução (ver [11]). 

Teorema 3.3 (Teorema chinês dos restos (TCR)). Se os inteiros n \, ri 2 , ■.., rik são dois a dois 
coprimos, isto é, mdc(rii , nj) = 1 para i ^ j, então o sistema 

x = a\ (modni) 
x = ü 2 (mod U 2 ) 


x = ai (mod n^) 

admite uma única solução módulo n — n \ n 2 • • .%• Se bj é tal que bn/ni = 1 (mod «;), então 
essa solução é dada por x = Y!í= \ a-ibin/ni (mod n). 


3.7 Grupos 

Um conjunto não vazio G munido de uma operação * é um grupo se as três condições a 
seguir são satisfeitas: 

Associatividade: (a*b)*c = a*(b*c), Va,b,ceG. 

Existência de unidade: 3e e G tal que e*a = a*e = a, Va <G G. 

Existência de inversos: Va e G, 3b e G tal que a *b — b *a — e. Usamos a notação b — a~ l . 


A ordem de um grupo G é a sua cardinalidade e será denotada por |G| ou o(G). A ordem 
de um elemento a e G, denotada por o(a), é o menor inteiro positivo n tal que a n = e. Sabe-se 
que em um grupo finito a ordem de qualquer elemento é um divisor da ordem do grupo. Esse 
resultado é uma consequência do Teorema de Lagrange que veremos a seguir. 

Um subgrupo de um grupo G é um subconjunto não vazio H ÇG que também é um grupo 
(com a mesma operação de G). Vale o seguinte resultado (ver [11]): 

Teorema 3.4 (Lagrange). Sejam G um grupo finito e H um subgrupo de G. Então o{H) é um 
divisor de o (G). 

Um grupo G é cíclico se existe algum elemento g e G tal que para cada a e G existe um 
inteiro n(a ) tal que a = g n(a K Um tal g é chamado de gerador do grupo. 

Sabe-se que, se p é primo, então o grupo multiplicativo Z* = Z/ pZ, — {0} é cíclico. 
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3.8 Resíduos quadráticos 


O produto cartesiano de dois grupos cíclicos finitos, com operação coordenada a coor¬ 
denada, ainda é um grupo cíclico, desde que suas ordens sejam números primos entre si. 

Dois grupos Gi e G 2 são isomorfos quando existe uma aplicação bijetiva / : G\ —> G 2 
que preserva as operações dos grupos, ou seja, f(a *b) = f(a)of(b), onde * é a operação do 
grupo Gi e o é a operação de G 2 . Escrevemos G\ ~ G 2 para indicar que os grupos G\ e G 2 são 
isomorfos. 

Existe uma forma equivalente do TCR no contexto de teoria dos grupos [23]: 


Teorema 3.5. Se os inteiros ni,n 2 ,... são dois a dois coprimos e n — n\U 2 . ■ .«&, então 

z: t Kz: 2 x-xz;,z:. 


3.8 Resíduos quadráticos 

Um inteiro ae{l,2,...n — 1} e primo com a é resíduo quadrático módulo n quando existe 
um inteiro x e {1,2,.. .n — 1} tal quex 2 = a (mod n ). 

Pode-se provar que se n é produto de primos distintos, então (Z/nZ)* é cíclico [30]. 
Assim conclui-se que apenas metade de seus elementos são resíduos quadráticos módulo n. 
O conjunto dos elementos de Z* que são resíduos quadráticos módulo n é denotado por RQ n . 
Para identificar resíduos quadráticos são definidos os símbolos de Legendre e de Jacobi: 

Definição 3.1 (Símbolo de Legendre). Dado um primo p e um inteiro a não divisível por p, o 
simbolo de Legendre de a módulo p é: 

/ a \ j 1 se a é resíduo quadrático módulo p 
\pj 1-1 caso contrário 

Um inteiro é resíduo quadrático módulo p se, e somente se, seu símbolo de Legendre 
módulo p é igual a 1. 


Definição 3.2 (Símbolo de Jacobi). Dado um inteiro n — /?“' p® 2 ■ ■ ■ p® k e um inteiro a primo 
com n, o simbolo de Jacobi de a módulo n é definido em termos do símbolo de Legendre por: 



Diferentemente do que ocorre com o símbolo de Legendre, pode ocorrer que um inteiro não 
seja resíduo quadrático módulo n, mesmo que seu símbolo de Jacobi módulo n seja igual a 1. 
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3.9 A lei de reciprocidade quadrática de Gauss 


3.9 A lei de reciprocidade quadrática de Gauss 

Um dos mais belos teoremas de toda a matemática relaciona os símbolos de legendre 
e onde p e q são primos ímpares distintos [23]. 


Teorema 3.6 (Lei de reciprocidade quadrática de Gauss). Se p e q são primos ímpares 
distintos, então 




3.10 Teorema dos números primos 

O teorema que mostraremos a seguir foi conjecturado por Legendre em 1798 e foi provado 
pela primeira vez por Hadamard e de la Vallée Poussin no ano de 1896. Uma conexão entre esse 
teorema e a Hipótese de Riemann (um dos principais problemas em aberto relacionado com 
diversas áreas da Matemática, Computação e Física), bem como a importância dos números 
primos para a criptografia, faz com que ele esteja sempre em destaque. 


Teorema 3.7 (Teorema dos números primos). Seja 7t(x) a quantidade de números primos que 
não excedem o real x. Tem-se 


lim 


44 _ 1 

x/ ln* 


O teorema dos números primos pode ser interpretado como: n(x) é assintoticamente igual 
à função x/ lnx. Uma excelente introdução aos temas abordados até agora pode ser encontrada 
em [20]. 


3.11 Alfabetos, cadeias e linguagens 

Um alfabeto é um conjunto finito de símbolos. Os elementos de um alfabeto recebem o 
nome de letras. Uma cadeia de caracteres (ou string ) sobre um alfabeto é uma sequência 
finita de letras desse alfabeto concatenadas. O conjunto de todas as cadeias definidas sobre um 
alfabeto E é denotado por E*. Frequentemente utiliza-se E = {0,1}. 
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3.12 Máquinas de Turing 


O comprimento de uma cadeia w, denotado por vv|, é o número de letras concatenadas 
para formar essa cadeia (contadas as repetições). Um conjunto de palavras definidas sobre um 
alfabeto será chamado de linguagem. 


3.12 Máquinas de Turing 

Uma máquina de Turing é um dispositivo teórico, criado pelo matemático Alan Turing em 
1936, que simula a lógica de algoritmos. Informalmente, uma máquina de Turing consiste de 
[47]: 

1. Uma fita infinita dividida em células adjacentes. 

2. Um cabeçote que pode ler, escrever ou apagar símbolos de uma alfabeto finito sobre a 
fita, bem como mover-se para a esquerda ou para a direita sobre a fita. 

3. Uma tabela de instruções indicando que ação será executada a partir da configuração da 
máquina e do símbolo lido na fita. Essa tabela também é chamada de função de transição. 

4. Um registrador que armazena o estado da máquina. 


Formalmente, temos: 

Definição 3.3. Um máquina de Turing M é uma 7-upla (Q, E, T, ô.qo, q ac , q re j), onde 

1. Qé o conjunto (finito) de estados possíveis da máquina. 

2. E é um alfabeto que contém os símbolos que são entradas para M. Esse alfabeto não 
contém o símbolo □ (espaço em branco). 

3. T é o alfabeto da fita, onde □ e T e E Ç F. 

4. <5 : <2 x T — > <2 x T x {£, D} é a função de transição, onde EeD indicam, respectivamente, 
movimento do cabeçote para a esquerda ou para a direita. 

5. qo e Q é o estado inicial de M. 

6. q ac é o estado de aceitação. 

7. q re j é o estado de rejeição (q ac qrej)- 

Atingindo um dos estados q ac ou q re j a máquina M pára. Caso isto não ocorra, M entra em loop. 
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3.13 Distância estatística 


controle 



fita (memória) 
Figura 3.1 Máquina de Turing 


3.13 Distância estatística 

Definição 3.4 (Distância estatística). Sejam XeY duas variáveis aleatórias discretas definidas 
sobre um conjunto finito A. A distância estatística entre essas duas distribuições é definida por 

A(X, *0 = \ £ \ Pr l x = fl] - Pr[Y = a\ I. 

Z aeA 

Informalmente, A(X, Y) é o maior valor possível para a diferença entre as probabilidades 
que essas duas distribuições podem atribuir a um mesmo evento. 

Um resultado importante sobre distância estatística é dado a seguir (ver [18]): 

Teorema 3.8. Seja p : A —> {0,1} uma função. Tem-se 

\Pr[p(X)=a\-Pr[p(Y) = a\\<A(XJ). 
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Capítulo 4 


Problemas computacionalmente difíceis 


Se não existem soluções para grandes problemas, 
o ideal é adaptar-se e preparar-se para conviver com eles... 

— CARLOS A. C. COELHO (Denúncia vadia) 


A noção de “problema computacionalmente difícil” é de fundamental importância para 
a criptografia moderna. Informalmente, a segurança de um esquema criptográfico depende da 
dificuldade encontrada por alguém não autorizado para inverter a função usada na cifragem. 
Essas funções são conhecidas como funções unidirecionais. Veremos neste capítulo diversas 
classes de problemas computacionalmente difíceis e seus respectivos criptossistemas associados. 


4.1 Classes de complexidade 

O ponto de principal importância em qualquer esquema criptográfico é oferecer extrema 
dificuldade a qualquer pessoa que tente decifrar uma mensagem que não lhe é destinada. Sendo 
assim, é natural a busca por problemas computacionalmente difíceis de serem resolvidos e 
utilizá-los como base para esquemas criptográficos. 

Na teoria qualquer esquema criptográfico, por envolver um número finito de possibilidades 
de cifragem, pode ser quebrado. Entretanto, isto pode ter custo computacional bastante elevado. 

Pensaremos em um dado problema como sendo uma cadeia de caracteres que o descreve e 
chamaremos de linguagem a um conjunto de cadeias que possui certa propriedade em comum. 
Nesse contexto, a complexidade de uma linguagem (e do problema associado) é medida pela 
quantidade de recursos (normalmente o número de operações realizadas) para decidir se uma 
determinada cadeia pertence a essa linguagem. Veremos a seguir uma breve descrição das 
principais classes de complexidade. 


4.1.1 Classe de complexidade P 

Uma linguagem L é reconhecida em tempo polinomial determinístico se existe uma máquina 
de Turing M, que retoma os valores 0 ou 1, e um polinómio p : N —> N + tais que 
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4.1 Classes de complexidade 


(1) Sobre uma entrada x, M pára após no máximo p(\x\) passos, onde \x\ é o comprimento 
da cadeia x; 

(2) M(x) = 1 se, e somente se, x e L. 

A classe de complexidade P é o conjunto das linguagens reconhecidas em tempo polinomial 
determinístico. De outro modo, podemos dizer que P é o conjunto dos problemas de decisão 
que podem ser resolvidos em tempo polinomial. 


4.1.2 Classe de complexidade NP 

Uma linguagem L está em NP quando existe uma relação binária Rl Ç {0,1}* x {0,1}* e 
um polinómio /?(.) tal que Rl pode ser reconhecida em tempo polinomial determinístico e x e L 
se, e somente se, existe y e {0,1}* tal que (x,y) e Rl e \y\ < p(\x\). Um tal y é chamado de 
testemunha da pertinência de v a L. 

A definição acima pode ser interpretada do seguinte modo: 

Uma linguagem L está em NP se existem “provas curtas” de pertinência a L que podem 
ser eficientemente verificadas . O termo “prova curta” está associado à condição 

e {0,1}* tal que (x,y) e L com \y\ < p(\x\). 

A eficiência vem do fato que isto pode ser verificado em tempo polinomial. 

Uma outra maneira de interpretar NP é como sendo o conjunto de todos os problemas 
de decisão que podem ser resolvidos por uma máquina de Turing não-determinística em tempo 
polinomial. 

Pode-se (a grosso modo) dizer que P é a classe dos problemas cujas soluções são “fáceis 
de encontrar” e NP é a classe dos problemas cujas soluções são “fáceis de serem verificadas”. 
Muitos dos teóricos em teoria da complexidade acreditam que P /NP (ver [9]). Este é o mais 
famoso problema em aberto em Ciência da Computação. 


NP-Completude 

Dizemos que uma linguagem L é NP-completa se L está em NP e se toda linguagem em 
NP é redutível a L em tempo polinomial. Uma linguagem L' é redutível a uma linguagem L se 
existe uma função computável / tal que x e L' se, e somente se, f(x) e L; para indicar esse fato 
usamos a notação L < po i y L'. 

Alguns problemas NP-completos conhecidos são [15, 24, 52]: 
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4.1 Classes de complexidade 


Satisfatibilidade de uma fórmula proposicional (SAT) 

Chama-se literal uma variável proposicional ou a negação de uma variável proposicional. 
Uma disjunção de literais recebe o nome de cláusula. Uma fórmula proposicional está na forma 
normal conjuntiva (FNC) se esta é uma conjunção de cláusulas. Sabe-se que toda fórmula 
proposicional é equivalente a uma fórmula na forma normal conjuntiva. 

Chamaremos de SAT ao conjunto de todas as fórmulas na forma normal conjuntiva que são 
satisfatíveis, ou seja, existe uma atribuição de valores às variáveis preposicionais que tornam 
a fórmula verdadeira. O problema SAT consiste, por definição, em verificar se uma expressão 
booleana na FNC é satisfatível. Em 1971 Stephen Cook provou que o SAT é NP-completo. 


Problema da mochila (knapsack problem) 

Dado um conjunto de itens, cada um tendo um peso /?,• e um valor v ( -, determinar a quantidade 
de cada item que se pode tomar de modo que o peso total não exceda um dado valor p e o valor 
total seja o máximo possível. 


Problema do caixeiro viajante 

Um caixeiro viajante, que desloca-se entre pares de cidades a um custo que depende apenas 
do par escolhido, recebe um prêmio por cada cidade visitada e paga uma multa por cada cidade 
que deixa de visitar. Deseja-se estabelecer uma rota que minimize os custos de viagem e a 
soma das multas pagas, além de permitir que ele receba um dado prêmio pré-fixado. 


Problema da clique máxima em um grafo 

Uma clique 1 em um grafo não-direcionado é um conjunto C de vértices que são dois a dois 
adjacentes. Dizemos que uma clique C é maximal se não existe outra clique que a contenha. 
Quando não existe uma clique Cj que seja maior (em quantidade de vértices) que C, então 
C é máxima. O problema de encontrar uma clique máxima em um grafo não-direcionado é 
NP-completo. 


Problema da soma de subconjuntos 

Dado um conjunto X de inteiros e um inteiro s, existe um subconjunto não vazio de X 
cuja soma de seus elementos seja 5? 


1 Aqui o termo clique tem um significado pouco conhecido. Significa conspiração; subgrupo organizado no 
interior de um grupo cujos membros partilham preferências específicas; “panelinha”. 
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4.1 Classes de complexidade 


Coloração de grafos (usando no mínimo 3 cores) 

Assumiremos que colorir um grafo significa atribuir cores aos seus vértices de modo que 
dois vértices adjacentes tenham cores distintas. O problema da coloração de grafos está 
associado a diversos problemas de ordem prática como, por exemplo, programação, registro 
de alocação em compiladores e reconhecimento de padrões. 

Determinar se é possível colorir os vértices de um grafo usando no máximo k cores é um 
problema NP-completo. 


Problemas NP-difíceis 

Um problema é chamado de NP-difícil quando existe algum problema NP-completo que 
pode ser reduzido a ele em tempo polinomial. O mais conhecido dos problemas NP-difíceis é 
o problema da parada. Este foi um dos primeiros problemas que se provou ser indecidível. A 
prova desse fato, dada por Alan Turing, foi publicada em 1936 [47]. 

Problema da parada 

Dada a descrição de um programa e uma entrada finita, decidir se o programa pára ou 
entra em loop para aquela entrada. 

Turing provou que não existe um algoritmo geral para resolver o problema da parada para 
todos os possíveis pares programa-entrada. 


4.1.3 Classe de complexidade BPP 

Dizemos que uma linguagem L é reconhecida por uma máquina de Turing probabilística 
de tempo polinomial M se existe uma constante k > | tal que as duas condições a seguir são 
satisfeitas: 

(1) xeL^Pr[M(x) =l]>k 

(2) x<£L=> Pr[M(x) = 0 ]>k 

O conjunto das linguagens reconhecidas por máquinas de Turing probabilísticas de tempo 
polinomial é denotado por BPP (Bounded-error Probabilistic Polinomial Time). Esta definição 
pode ser interpretada como: 

(1) Se uma cadeia x está em L, existe uma alta probabilidade (dependendo de k) de que M 
decida que x está em L. 

(2) Analogamente, se uma dada cadeia x não está em L, existe uma alta probabilidade de que 
M decida que x não está em L. 
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4.2 Problemas computacionalmente difíceis 


As condições (1) e (2) combinadas equivalem a: “Existe uma alta probabilidade de que M tome 
a decisão correta sobre a pertinência ou não de x à linguagem L”. 


4.2 Problemas computacionalmente difíceis 

A intratabilidade de alguns problemas computacionais garante uma relativa segurança aos 
esquemas criptográficos assimétricos. Um problema é dito computacionalmente difícil quando 
não existe algoritmo que possa solucioná-lo em tempo polinomial ou, caso exista um tal 
algoritmo, encontrar uma solução é infactível. 

Existem diversos problemas que são considerados computacionalmente difíceis, alguns dos 
quais estudaremos a seguir (ver [30], cap. 3): 

4.2.1 Problema 1: Fatoração de inteiros (PF) 

Dado um inteiro n > 1, o Teorema Fundamental da Aritmética afirma que n pode ser escrito 
de modo único, exceto pela ordem dos fatores, na forma 

n = Pi 1 p% 1 ...p% k , 

onde p\ ,p 2 , ■ ■ ■, Pk são números primos distintos e cq , « 2 , • • •, <4 e N*. 

Dizemos que a e N é um fator não trivial do inteiro n quando n — ab, com 1 < a,b < n. 
Então o PF é descrito como 

Definição 4.1 (Problema da fatoração de inteiros). Dado um inteiro n, encontrar um de seus 
fatores não triviais. 

Em 2001, M. Agrawal, N. Kayal e N. Saxena provaram que o problema de decidir se 
um dado inteiro é primo pode ser resolvido em tempo polinomial [1]. Entretanto, ainda não 
sabemos se o mesmo ocorre com o problema de encontrar fatores não triviais de um dado 
inteiro. 

O problema da fatoração de inteiros foi atacado por importantes matemáticos, dentre os 
quais está Gauss que em sua obra Disquisitiones Arithmeticae [16] escreveu: 

O problema de distinguir os números primos dos compostos e de resolver um 
inteiro em seus fatores primos é conhecido como sendo um dos mais importantes e 
úteis em aritmética. Ele tem ocupado o tempo e a sabedoria de antigos e modernos 
matemáticos de tal maneira que seria desnecessário discutir o problema em toda 
sua extensão... 

Além disso, a dignidade da própria ciência parece requerer a solução de um tão 
elegante e celebrado problema. 
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4.2 Problemas computacionalmente difíceis 


Estas palavras foram escritas por Gauss aproximadamente 175 anos antes que os testes de 
primalidade e o problema de fatoração de inteiros fossem aplicados em criptografia. Portanto, 
se esse problema era importante nos dias de Gauss, ele se torna ainda mais importante nos dias 
de hoje. 


4.2.2 Problema 2: Problema RSA (PRSA) 

O PRSA foi inicialmente proposto por R. Rivest, A. Shamir e L. Adleman, em um artigo 
[41] no ano de 1978. Considere uma mensagem Me {0,1,.. .,n — 1}. Utilizando o RSA, M é 
cifrada como C — M e (mod n). Nesse contexto, o PRSA é descrito como 

Definição 4.2 (Problema RSA). Dados os inteiros e> 1, C e {0, \ 1}, encontrar um 

inteiro M e {0,1,..., n — 1} tal que C — M e (mod n ). 

Portanto, o PRSA consiste em encontrar raízes c-ésimas módulo o inteiro composto n. 
Suponha que conhecemos a fatoração de n — p.q. Podemos facilmente calcular 0 (n): 

<$>(n) = {p - \){q- \) = pq- p- q+ \ = n - {p + q) + \. 

Assim, podemos encontrar a chave privada d, bastando, para isso, calcular o único inteiro d 
com 1 < d < 0 (n) e de = 1 (mod (j) (n)). Com isso conclui-se que PRSA < po i y PF. 


4.2.3 Problema 3: Resíduos quadráticos (PRQ) 

Seja p um número primo. Um inteiro a, não divisível por p, é dito ser um resíduo quadrático 
módulo p quando existe um inteiro x tal que x 2 = a (mod p). Como visto no capítulo anterior, 
o símbolo de Legendre é utilizado para indicar se isto ocorre ou não. O símbolo de Jacobi 
(^) generaliza o símbolo de Legendre para um inteiro composto n. Podemos agora enunciar o 
PRQ: 

Definição 4.3 (Problema dos resíduos quadráticos). Dado um inteiro composto n e um inteiro 
a, com mdc(a, n) = 1 e (^) = 1, decidir se a é um resíduo quadrático módulo n. 

Embora existam algoritmos eficientes para calcular quando p é primo e assim decidir 
se a é ou não resíduo quadrático módulo p, não se conhece algoritmo eficiente que resolva o 
PRQ quando n é composto se não dispomos de uma fatoração de n como produto de primos. 

Caso a fatoração de n em fatores primos seja conhecida, digamos n = /?“' p“ 2 • • • p% k , então 



Portanto, PRQ< po / v PF. 
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4.2 Problemas computacionalmente difíceis 


4.2.4 Problema 4: Raízes quadradas módulo n (PSQRT) 

O problema de encontrar raízes quadradas módulo n pode ser enunciado como segue: 

Definição 4.4 (Problema das raízes quadradas módulo rí). Dados os inteiros n > 1, composto, 
e a e {2,3,..— 2}, encontrar x e {2,3,..— 2} tal que* 2 = a (mod rí). 


Aqui o problema é um pouco diferente do problema anterior. Enquanto no PRQ estamos 
interessados apenas em saber se o inteiro a é ou não resíduo quadrático módulo n, no PSQRT 
podemos dispor dessa informação, mas queremos encontrar uma de suas raízes quadradas 
módulo n. 

Novamente, temos um problema que pode ser resolvido de modo eficiente para n primo ou 
potência de primo. Para n — p primo, se g é um gerador de Z* e a <G {1,2,3,— 1}, então 
a = g r (mod p), para algum inteiro r > 0. Assim, a será ou não resíduo quadrático módulo 
p, dependendo de r ser par ou ímpar. Sendo r par, a equação x 2 = a (mod p) tem as soluções 
* = ±g r / 2 (mod p). Em [30] pode-se encontrar um algoritmo eficiente para determinar essas 
soluções. 

Também aqui é possível encontrar uma relação entre esse problema e o PF. De fato, pode-se 
provar que o PSQRT e o PF são computacionalmente equivalentes ([30], Cap. 3). 


4.2.5 Problema 5: Logaritmo discreto (PLD) 

Seja G um grupo cíclico de ordem n e seja g um gerador desse grupo. Dado b e G, existe 
um único inteiro x, com 0 < x < n tal que b — g x . Dizemos que * é o logaritmo discreto de b 
na base g e escrevemos * = log g b. Para enunciar o PLD tomaremos G = Z*, com p primo. 


Definição 4.5 (Problema do logaritmo discreto). Dados os inteiros p, g, b, com p primo, g 
um gerador de Z* e mdc(A rí) = 1, encontrar um inteiro * tal que g K = b (mod p). 


Sabe-se que a dificuldade do PLD é independente do gerador escolhido. Existem classes de 
algoritmos que resolvem o PLD em casos particulares, como no caso em que a ordem do grupo 
Z* tem apenas fatores primos pequenos. 


4.2.6 Problema 6: Soma de subconjuntos (PSS) 

Esse problema pode ser caracterizado da seguinte forma: 

Definição 4.6 (Problema da soma de subconjuntos). Dado um conjunto A = {ai , < 22 ,..., a n } 
de inteiros positivos e um inteiro s > 0, determinar se existe um subconjunto A' de A de modo 

que LxeA'* = s. 
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4.3 Problemas computacionalmente difíceis e criptossistemas associados 


Existe um modo equivalente de definir esse problema: 

Definição 4.7 (Problema da soma de subconjuntos (versão 2)). Dados os inteiros positivos 
a\,a 2 , . ■ ., a n , s, determinar se existe (x\,X 2 ,... ,x n ) G {0,1 } n tal que £" =1 a,x,- = 5. 

O PSS é um problema de decisão. Sua versão computacional é descrita como: 

Definição 4.8 (Problema da soma de subconjuntos (versão computacional)). Dados os 
inteiros positivos a\ , a 2 , ..., a n , s, determinar {x\,X 2 ,.. .,x n ) G {0,1 } n tal que £” =1 a i x i = s - 

É conhecido que o PSS é um problema NP-completo e que sua versão computacional é 
NP-difícil [30], 


4.3 Problemas computacionalmente difíceis e criptossistemas associados 

Vimos na seção anterior alguns dos principais problemas NP-difíceis. Estudaremos nesta 
seção o conceito de função unidirecional e de criptossistema e veremos exemplos de esquemas 
criptográficos associados aos problemas estudados anteriormente. 

4.3.1 Funções unidirecionais 

Informalmente, uma função / é chamada de unidirecional ou de mão única quando esta 
é fácil de calcular mas é difícil de inverter, ou seja, dado um elemento x no domínio de /, 
pode-se facilmente computar f(x) mas, dado y no conjunto imagem de /, é extremamente 
difícil determinar jc tal que f(x) = y. 



Figura 4.1 Funções unidirecionais 


Uma definição rigorosa do conceito de função unidirecional, depende da noção de função 
desprezível: 


Definição 4.9 (Função desprezível). Uma função v : R —>• R+ é dita desprezível se para toda 
constante c > 0 existe um inteiro k c tal que v(k) < k~ c , para todo k > k c . 
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4.3 Problemas computacionalmente difíceis e criptossistemas associados 


Exemplo 4.1. A função f(k) = a k , com a > 1, é desprezível. Sabemos do cálculo diferencial 
que, dada qualquer constante c > 0, tem-se lim ^ = 0. Assim, para k suficientemente grande, 

tem-se \ < 1, ou seja, a~ k < k~ c . 


Existem algumas definições de funções unidirecionais, dependendo do rigor com se quer 
tratar cada problema. Optamos pela definição de função unidirecional forte, conforme [17]. 


Definição 4.10 (Função unidirecional forte). Uma função /: {0,1}* —> {0,1 }* é chamada de 
unidirecional (forte) se valem as seguintes condições: 

1 .fé fácil de computar: Existe um algoritmo determinístico de tempo polinomial A que, 
tomando x como entrada, produz /(%). 

2 .fé difícil de inverter: Para todo algoritmo probabilístico de tempo polinomial A', existe 
uma função desprezível v A / tal que para todo inteiro k suficientemente grande 

Pr [A'(/(l/y, 1‘) Ef^pl))] < Mk)- 

Aqui Í4 representa uma variável unformemente distribuída sobre {0, \ } k el k é um parâmetro 
que indica o tamanho k de uma cadeia em {0,1}* que deve ser produzida como saída pelo 
algoritmo A'. Assim, se / é unidirecional, a probabilidade que A' produza uma pré-imagem 
para f(x) para um dado * é desprezível. 

Para uso em esquemas criptográficos é mais conveniente pensar em coleções de funções 
unidirecionais. 


Definição 4.11 (Coleção de funções unidirecionais fortes). Seja I um conjunto de índices e 
para cada i e I sejam D,- e /?, conjuntos finitos. Uma coleção de funções unidirecionais fortes é 
um conjunto F = {/ : D,- —> Rijiei satisfazendo às seguintes condições: 

1. Existe um algoritmo probabilístico de tempo polinomial S i que tomando como entrada 
a G {0,1 } k produz um índice i e I. 

2. Existe um algoritmo probabilístico de tempo polinomial S 2 que tomando como entrada 
i G I produz x e D,-. 

3. Existe um algoritmo probabilístico de tempo polinomial Ai tal que para i e I e x e D,, 
tem-se A 1 (i.x) = f(x). 

4. Para todo algoritmo probabilístico de tempo polinomial A, existe uma função desprezível 
Va tal que, para todo k suficientemente grande, tem-se 

Pr [a(/,(£ 4), 1*) e fr' < v A (k). 
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4.3 Problemas computacionalmente difíceis e criptossistemas associados 


Funções unidirecionais por si só não são úteis para criptografia. A razão disso é que 
um esquema criptográfico deve permitir que o receptor tenha acesso ao conteúdo original da 
mensagem. Sendo assim, são definidas as funções trapdoor. Uma função trapdoor unidirecional 
é uma função unidirecional f :X —>Y com a propriedade adicional de que, dada uma informação 
extra (chamada de informação trapdoor), pode-se, a partir de y e 7m(/), calcular x <G Dom(f) 
tal que f(x) = y. Formalmente temos: 

Definição 4.12 (Função trapdoor unidirecional). Uma função trapdoor unidirecional é uma 
função unidirecional / : X —> Y tal que existe um polinómio p : M —* M + e um algoritmo 
probabilístico de tempo polinomial B tal que para todo inteiro positivo k existe t k e {0,1}* 
com \t k \ < p(k ) e para todo xeX, B(f(x),t k ) =ye f(y) = /(*). 

Exemplo 4.2. Dados os números primos p = 3904501 e q = 13487, calcule seu produto 
n — pq = 52660004987. Defina a função / : N —> N por f(x) = x 2 (mod n). Conhecendo 
f(x) = 52119910234 (mod n), não é tão simples o cálculo de um valor para x (aqui tem-se 
x = 10 12 ). Um computador rápido pode auxiliar nessa tarefa. Entretanto, se n tiver algo em 
torno de 200 algarismos (na base 10), isso pode levar alguns milênios! 

Agora, suponhamos que alguma informação extra (informação trapdoor) nos é fornecida. 
Por exemplo, digamos que são dados os fatores primos de n. Nesse caso, resolvemos as 
congruências x 2 = c (mod p) e x 2 = c (mod q), que são relativamente mais fáceis de resolver, 
e usamos o TCR para encontrar uma solução para a congruência módulo n. 


Como antes, é conveniente utilizar famílias de funções trapdoor: 

Definição 4.13 (Coleção de funções trapdoor unidirecionais). Seja I um conjunto de índices 
e para cada i e I sejam D, e Ri conjuntos finitos. Uma coleção de funções trapdoor unidirecionais 
fortes é um conjunto F = {/ : D, Ri}iei satisfazendo às seguintes condições: 

1. Existe um polinómio p : N->Ne um algoritmo de tempo polinomial 5) que tomando 
como entrada a e {0,1 } k produz pares onde iG/e \U < p(k)\ (ti é chamado de 
trapdoor de i). 

2. Existe um algoritmo de tempo polinomial S 2 que tomando como entrada i e I produz 

x G Di. 

3. Existe um algoritmo de tempo polinomial A\ tal que para iG/eiG D,-, A\(i,x) = fi(x). 

4. Para todo algoritmo probabilístico de tempo polinomial A, existe uma função desprezível 
Va tal que, para todo k suficientemente grande, tem-se 

Pr [,\(fi(U k ), Üi(í4)i] : < Va®. 
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4.3 Problemas computacionalmente difíceis e criptossistemas associados 


4.3.2 Criptossistemas 

Como visto no capítulo 1, existem basicamente dois tipos de esquemas criptográficos. Um 
modelo é formado pelos esquemas simétricos, ou de chave secreta, que utilizam uma única 
chave tanto para cifragem quanto para decifragem. O outro modelo é composto dos esquemas 
assimétricos, ou de chave pública, cujas chaves para cifragem e decifragem são distintas. 
Embora sejam raramente encontrados, existem uns poucos modelos de criptossistemas além 
desse dois, como o modelo sem chaves baseado no logaritmo discreto apresentado em [48]. 
Iniciamos com uma definição formal do conceito de criptossistema. 

Definição 4.14 (Criptossistema simétrico). Um esquema criptográfico simétrico (ou de chave 
secreta ) é uma quádrupla ES — (X, X, £, D) onde 

1. X é um algoritmo aleatorizado, de tempo polinomial, que retoma cadeias de caracteres. 
Denotaremos por KeysfES ) o conjunto de todas as cadeias que têm probabilidade não 
nula de serem produzidas por X. Os elementos K e Keys(ES) são chamados de chaves. 

2. X = {fK : {0,1}* —> {0,1 }*}KeKeys(ES) é uma família de funções trapdoor unidirecionais. 

3. £ é um algoritmo de tempo polinomial que toma como entrada uma chave K e KeysfES ) 
e uma mensagem M e {0,1}* e retoma o texto cifrado E(K,M) = /^(M) e {0,1}*, com 
Ík £ X. Chamaremos £ de algoritmo de cifragem. 

4. D é um algoritmo de tempo polinomial que toma como entrada uma chave K e Keys(ES) 
e um texto cifrado Ce {0,1}* e retoma um elemento T> (K,C) e {0,1}*. Chamaremos 
D de algoritmo de decifragem. 

5. Dado K e Keys(ES ), vale a relação T>(K,Z(K,M)) = M. 

A última condição na definição acima mostra que o esquema funciona se usarmos a mesma 
chave K tanto na cifragem quanto na decifragem, indicando tratar-se de um esquema simétrico. 


Definição 4.15 (Criptossistema assimétrico). Um esquema criptográfico assimétrico (ou de 
chave pública) é uma quádrupla EA = {X, J. £, D) onde 

1. X é um algoritmo aleatorizado de tempo polinomial que, tomando como entrada um 
parâmetro de segurança inteiro positivo k, retorna pares de cadeias de (0,1}*. Vamos 
denotar por Keys(EA) o conjunto de todos os pares de cadeias que têm probabilidade não 
nula de serem produzidos por X. Dado um elemento (K e . Kf e Keys(EA), chamamos 
K e de chave pública e Kj de chave privada do sistema. 

2. X = {fg : {0,1}* —> {0, sendo K o conjunto das coordenadas dos elementos de 

Keys(EA), é uma família de funções trapdoor unidirecionais. 
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4.3 Problemas computacionalmente difíceis e criptossistemas associados 


3. £ é um algoritmo de tempo polinomial que toma como entrada a coordenada K e de 
um par (K e . K d ) e Keys(EA) e uma mensagem Me {0,1}* e retoma o texto cifrado 
E(K e . M) = fre (M) e {0, 1}*, onde fx e e 5F. Chamaremos £ de algoritmo de cifragem. 

4. D é um algoritmo de tempo polinomial que toma como entrada a coordenada K d de 
um par (K e . K d ) e Keys(EA) e um texto cifrado Ce {0,1}* e retoma um elemento 
r D(K d , C ) = fK d (C) e {0,1}*, onde fr d e 3\ Chamaremos V de algoritmo de decifragem. 

5. Dado (K e ,K d ) e Keys(ES), vale a relação T>(K d ,£(K e ,M)) = M. 


A última condição nesta definição mostra que duas chaves K e e possivelmente distintas, 
são utilizadas, indicando tratar-se de um esquema assimétrico. 

Veremos a seguir alguns exemplos de criptossistemas baseados nos problemas estudados 
na seção anterior. 


4.3.2.1 Criptossistema RSA 

Trata-se do primeiro modelo de criptossistema de chave pública. O RSA foi proposto 
por Ronald Rivest, Adi Shamir e Leonard Adleman em 1977 e tem como suporte o PF. Seu 
funcionamento é descrito a seguir: 

1. Geração de chaves: 

• Gere dois primos ímpares distintos p e q. 

• Calcule n = pq. 

• Gere um inteiro e satisfazendo 1 < e < (j)(n) e mdc (e,(j)(n)) = 1 e defina a chave 
pública Ke — (n, e ) 

• Calcule o menor inteiro positivo d tal que ed = 1 (mod </>(«)) e fixe a chave privada 
K d — d. 

2. Cifragem: 

• Dada a mensagem M <n, calcule C = M e (mod n ). 

3. Decifragem: 

• M = C d (mod n). 

Sendo ed = 1 (mod 0(n)), tem-se C d (mod n)=M ed (mod n)=M (mod n)=M. Portanto, 
o processo de decifragem funciona corretamente. Este resultado ainda continua válido quando 
mdc(M,n) ^ 1 (ver [30]). 
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4.3 Problemas computacionalmente difíceis e criptossistemas associados 


4.3.2.2 Criptossistema de Rabin 

Este criptossistema de chave pública tem como base o PSQRT e foi proposto por Michael 
O. Rabin em janeiro de 1979 [37]. Para esse sistema temos: 

1. Geração de chaves: 

• Gere dois primos ímpares distintos p e q. 

• Calcule n — pqe defina a chave pública K e = n. 

• Fixe a chave privada K d = (p, q). 

2. Cifragem: 

• Dada a mensagem M <n, calcule C = M 2 (mod n). 

3. Decifragem: 

• Calcule as duas soluções das congruências x = M 2 (mod p) ey = M 2 (mod q). 

• Utilize o TCR para calcular as quatro soluções de C = M 2 (mod n). 

• Uma das quatro soluções é a procurada. 


4.3.2.3 Criptossistema Goldwasser-Micali 

Este esquema criptográfico foi desenvolvido por Shafi Goldwasser e Silvio Micali no ano 
de 1982 e apoia-se no PRQ. Seu destaque deve-se ao fato de ter sido o primeiro criptossistema 
probabilístico de chave pública provado ser seguro sob as hipóteses criptográficas padrões. Um 
ponto negativo é sua ineficiência, pois o texto cifrado pode ser centenas (ou até milhares) de 
vezes maior que o texto original. Vamos à sua descrição: 


1. Geração de chaves: 

• Gere dois primos ímpares distintos p e qe calcule n = pq. 

• Gere um inteiro y primo com n e que não é resíduo quadrático módulo n. 

• Defina a chave pública K e = (n.y). 

• Fixe a chave privada K d = (p,q). 

2. Cifragem: 


Dada a mensagem M — m\m 2 ■ ■ -m r , onde cada m,- é um bit de M, escolha (de forma 
aleatória) um inteiro Xj menor que n e primo com n, para cada bit m,- de M. 


• Defina e(m,) 


v.v;’ (mod n ) 
xj (mod n ) 


se mi = 1 
se m,- = 0 


• Faça C — e(mi)e(m 2 )-■-e(m r ). 
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3. Decifragem: 


• Para cada i, com 1 <i<n, faça 



se e(nii ) for resíduo quadrático módulo n 
caso contrário 


4.3.2.4 Criptossistema ElGamal 

Este é mais um criptossistema de chave pública. O esquema, que foi descrito por Taher 
Elgamal em 1984, baseia-se no PLD e pode ser definido sobre qualquer grupo cíclico finito. 
Segue a sua descrição: 

1. Geração de chaves: 

• Escolha um gerador g desse grupo. 

• Sendo n — |G|, escolhax e {0,1,..— 1} e calcule h = g x . 

• Defina chave pública K e — (G, n, g, h ). 

• Fixe a chave privada K d = x. 

2. Cifragem: 

• Dada uma mensagem M, convertê-la em um elemento de m e G. 

• Escolha aleatoriamente y e {0,1,.. .n — 1} e calcule c\ = g y e c 2 — m ■ h y . 

• Faça C = (ci,C 2 ). 

3. Decifragem: 

• Calcule c 2 • (c\)~ x = m-h? ■ (g^)" 1 = m ■ W ■ (h y )~ l = m. 

4.3.2.5 Criptossistema Naccache-Stern 

Este sistema de chave pública determinístico tem como base o PSS e foi desenvolvido por 
David Naccache e Jacques Stem em 1997. Sua descrição é: 

1. Geração de chaves: 

• Gere um primo grande p e um inteiro positivo r. 

• Para 0 <i<r, faça /?,• = i-ésimo número primo (com po = 2). 

• Escolha um inteiro s < p — 1 tal que mdc(p —1,5)= 1. 

• Calcule Vi = çfpi (mod p) (pode ser necessário calcular em extensões de Z p ) e faça 
v= (v 0 ,vi,...v r ). 

• Defina a chave pública K e = (p. r. v). 
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• Fixe a chave privada K d = s. 

2. Cifragem: 

• Dada a mensagem M = m\m ,2 ■ ■ ■ m n , onde cada m,- é um bit de M, calcule C = Il”=o V T ■ 

3. Decifragem: 

• Calcule [2' • (pi — 1) _1 (mod p) x (indc^C*) — 1)] . 

Note que, como C s = n”=o v f” ! = FI”=o P?‘> tem-se rndc (/?,-, C s ) = 1 ou mdc (pi,C s ) — pu 
dependendo de ocorrer m,- = 0 ou m,- = 1, respectivamente. Assim, 

£ [2' • (pi - 1) _1 (mod p) x (mdc (pi,C s ) - 1)] = 2' = M. 

i =0 rm =1 


4.4 Hipóteses RSA 

Nesta seção estudaremos a chamada hipótese RSA (HRSA) e uma de suas variantes, a 
hipótese RSA forte (HRSAF). Em linhas gerais, a HRSA está relacionada com a segurança do 
criptossistema RSA e sustenta-se na intratabilidade do PF. 


Hipótese RSA 

É assumido que o problema a seguir (PRSA) é infactível: 

Dado um inteiro n — pq, que é produto de dois primos ímpares distintos aleatoriamente 
gerados, dado um inteiro r > 1 e dado um inteiro z G Z*, também aleatoriamente gerado, 
encontrar y e Z* tal que y r = z- 


De fato, atualmente assume-se um pouco mais que isso: 


Hipótese RSA forte 

O problema a seguir (PRSAF) é infactível: 

Dado um inteiro n = pq, que é produto de dois primos ímpares distintos aleatoriamente 
gerados e dado um inteiro z G Z*, também aleatoriamente gerado, encontrar um inteiro 
r > 1 e y G Z* tais que y r = z. 
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O termo “forte” vem do fato que a HRSAF é um pouco mais flexível, permitindo a escolha 
de dois parâmetros (y e r). Entretanto, essa flexibilidade não torna o problema menos intratável 
que a HRSA [42], 

O fato de o PRSA ser, aparentemente, tão intratável quanto o PF é a principal justificativa 
para assumirmos as HRSA’s. O meio mais eficiente de se quebrar o criptossistema RSA que 
se conhece atualmente é fatorar o módulo n. Isso permite calcular (j) (n) e assim determinar a 
chave privada d ao resolver a congruência ed = 1 (mod </>(«)). Sabe-se que o problema de se 
determinar a chave privada d é equivalente a fatorar n, mas não existe prova de que essa é a 
única maneira de resolver o PRSA. De fato, existem fortes evidências de que o PF e o PRSA 
não sejam equivalentes [5], 


No capítulo seguinte estudaremos a noção de grupos pseudo-livres que foi o ponto de 
partida para a formulação de uma nova hipótese RSA. Esta generaliza as anteriores, além de 
outras formulações sobre segurança de várias classes de criptossistemas e por essa razão foi 
denominada de Hipótese RSA super-forte. 
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Capítulo 5 


Grupos pseudo-livres e hipótese RSA super-forte 


The theory ofgroups is a branch ofmathematics in wich 
one does something to something and then compares the 
result with the result obtainedfrom doing the some thing 
to something else, or something else to the same thing. 
— JAMES R. NEWMAN (The world ofmathematics) 


O conceito de grupos pseudo-livres, criado recentemente, permite estabelecer uma nova 
versão de hipótese RSA. Esta nova hipótese não só generaliza as anteriores, mas contém em si 
muitas outras hipóteses criptográficas usadas atualmente. 

A noção de grupo pseudo-livre foi inicialmente proposta por Susan Hohenberger [21], no 
ano de 2003, e refinada por R. Rivest [40]. Informalmente, a proposta é que, dado um grupo 
G, seja possível, sob certas condições, assegurar que a probabilidade de se encontrar soluções, 
nesse grupo, para certos tipos de equações (ou sistemas de equações) seja desprezível. É de 
particular interesse que, dado um esquema criptográfico sobre um grupo G, seja improvável que 
um adversário consiga resolver, em tempo razoável, as equações usadas para cifrar mensagens. 
Entretanto, durante algum tempo uma questão permaneceu sem resposta: Existem grupos 
pseudo-livres? 

Estudaremos neste capítulo a resposta dada em 2005 por D. Micciancio em [32] onde é 
provado que, sob certas condições, o grupo 7/ n é pseudo-livre. Este é o primeiro exemplo de 
tais grupos que se conhece. 


5.1 Grupos RSA 

Estaremos particularmente interessados no grupo das classes de intreiros relativamente 
primos com N. Em sua representação computacional, seus elementos são inteiros do conjunto 
{0,1,2,..., A— 1}. 

Definição 5.1 (Grupos RSA). O grupo multiplicativo Z]y, onde N = PQ é produto de dois 
primos ímpares distintos, é chamado de Grupo RSA. 

Por razões de segurança contra certos tipos de ataques conhecidos ao criptossistema RSA é 
comum a utilização de um tipo especial de primos: 
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5.2 Grupos livres 


Definição 5.2 (Primo seguro). Um primo P é dito seguro quando p = (P— l)/2 é primo. 


Portanto, se p é um primo e P — 2p + 1 também é primo, então este último é chamado de 
primo seguro. Infelizmente, ainda não se sabe se existem infinitos primos seguros. 


5.2 Grupos livres 

Seja A um conjunto não vazio e sejam a,-, com i e I, seus elementos, onde I é um conjunto 
(não necessariamente finito) de índices. Diremos que A é o alfabeto ao qual pertencem as 
letras a,-. Os símbolos da forma a" = a,a,-.. .a,-, formados pela justaposição de letras iguais 
(com n e N), serão chamados de sílabas e qualquer cadeia finita w = dfdf ■ ■ formada 
pela justaposição de sílabas, será uma palavra. Definiremos ainda a palavra vazia como sendo 
aquela que não contém sílabas e a denotaremos por 1. 

Chamaremos de contrações elementares às seguintes operações com palavras: 

• Substituição de uma ocorrência de afaf por af +n . 

• Substituição de uma ocorrência de pela palavra vazia 1. 


Dizemos que uma palavra w está na forma reduzida se não é possível fazer nenhuma 
contração elementar em w. Evidentemente, qualquer palavra pode ser expressa na forma 
reduzida através de um número finito de contrações elementares. 

Sejam A um alfabeto e F(A) o conjunto de todas as palavras sobre A que estão na forma 
reduzida. Existe um modo natural de dar a F (A) uma estrutura de grupo: 

• Dadas duas palavras w\ e W2, defina w\ .W2 como sendo a forma reduzida da palavra 
obtida pela justaposição w\W 2 dessas duas palavras. 

• A inversa da palavra w = a” 1 ^ 2 .. .a n k k é definida por w -1 = af nk .. .af ni af ni . 

Definição 5.3. O grupo F (A) é chamado de grupo livre gerado por A. 


No que segue será necessário que tenhamos grupos abelianos (ou comutativos). Isto pode 
ser feito definindo-se uma certa relação de equivalência no conjunto F(Á)e tomando o quociente 
por essa relação. Mais precisamente, tomamos o comutador de F(A), que é o grupo ff gerado 
por {aiajaf i aj l : ai,aj e F(A)} e definimos em F(Á) a relação de equivalência a ~ b & 
ab~ l e ff. Finalmente, tomamos o quociente F(A)f Obtemos um grupo livre abeliano que 
denotaremos por -ff (A). 
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5.3 Grupos pseudo-livres 


Exemplo 5.1. O conjunto dos polinómios na variável X e coeficientes em Z, denotado por 
Z[X\, com a operação de adição de polinómios é um grupo livre gerado pelo conjunto 
A = {1,X,X 2 ,X 3 ,...}. 


A característica que nos interessa em um grupo livre é o fato de que não existem relações 
não triviais entre seus geradores (ver [26]). 


Exemplo 5.2. No exemplo anterior, como o grupo é aditivo, não existem relações não triviais 
entre os geradores 1 ,X,X 2 ,X 3 ,... 


5.3 Grupos pseudo-livres 

A noção de grupo pseudo-livre foi inicialmente proposta por Susan Hohenberger em sua 
dissertação [21] em 2003 e melhorada por Rivest em [40]. Informalmente, a proposta é que, 
dado um grupo G, seja possível, sob certas condições, assegurar que a probabilidade de se 
encontrar soluções, nesse grupo, para certos tipos de equações (ou sistemas de equações) seja 
desprezível. Dessa forma, a característica desejável em um grupo pseudo-livre é que este 
tenha, pelo menos probabilisticamente, um comportamento semelhante a um grupo livre. É 
de particular interesse que, dado um esquema criptográfico sobre G, seja improvável que um 
adversário consiga resolver em tempo razoável as equações usadas para cifrar mensagens. 


Definição 5.4. Seja (G, o, () _1 ,1) um grupo com operação o, inversos dados pela função () -1 
e identidade 1. Um grupo computacional associado a G, denotado por < G >, é uma aplicação 
< . >: G —> (0,1}* tal que as seguintes operações podem ser executadas em tempo polinomial: 

• Testar pertinência a < G >, ou seja, determinar se uma dada string x é uma representação 
válida de um elemento de G. 

• Dados < x > e < y >, calcular < xoy >. 

• Dado < x >, calcular < x~ l >. 

• Calcular a representação da identidade < 1 >. 

• Sortear um elemento < g > e < G > (mas não necessariamente com distribuição uniforme 
de probablidade). 


Podemos agora definir grupo pseudo-livre: 
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5.4 O grupo RSA é pseudo-livre 


Definição 5.5. Sejam 

• jV = JE{k) um conjunto de produtos de dois primos seguros, onde k é um parâmetro de 
segurança (relativo ao tamanho dos primos), 

• í# = {Gaí}^c,/k uma família de grupos computacionais com índices em JV, 

• S um conjunto de tamanho polinomial \S\ — p(k), 

• srf um algoritmo de tempo polinomial probabilístico. 

Dizemos que a família Sf é pseudo-livre se vale o seguinte: 

Seja N e JV um índice aleatoriamente escolhido e seja a \S —> Gn uma função 
definindo |S| elementos aleatoriamente escolhidos, de acordo com o procedimento 
de amostragem adotado para o grupo G#. Então a probabilidade de que srf(N, a) — 

(E,Ç) produza uma equação E sobre o grupo abeliano livre gerado por S e com 
variáveis X, juntamente com uma solução t, : X —> G# para E a (equação obtida de 
E, fazendo a i—> a(a )) sobre Gn, é desprezível. 


Apesar de terem sido idealizados teoricamente, durante algum tempo não era conhecido se 
de fato existiam grupos ou famílias de grupos pseudo-livres. 


5.4 O grupo RSA é pseudo-livre 

De agora em diante denotaremos por jV o conjunto dos produtos de dois primos seguros e 
assumiremos alguma distribuição de probabilidade sobre JV. Assumiremos ainda, nesta seção, 
a hipótese RSA forte e também que o procedimento de amostragem sobre com N e jV , é 
feito escolhendo-se uniformemente resíduos quadráticos módulo N, isto é, elementos do grupo 
cíclico RQn — {a 2 (mod N) : l < a < N — le mdc(a, N) = 1} c Z^. O principal resultado 
deste capítulo é: 


Teorema 5.1 (Micciancio). Denote por JV o conjunto dos produtos de dois primos seguros 
escolhidos de acordo com uma distribuição de probabilidade de modo que o PRSAF sobre 
N e JV é difícil. Então a família de grupos computacionais {L% : N e JG}, com amostragem 
uniforme sobre RQn, é pseudo-livre. 


A prova desse teorema será feita por redução ao absurdo e será dividida em três partes. 
Inicialmente veremos alguns resultados que serão utilizados durante a demonstração. Nas duas 
últimas partes assumimos o PRSAF e será mostrado como a negação da tese pode ser usada 
para resolver o PRSAF, o que nos levará a uma contradição. 
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5.4 O grupo RSA é pseudo-livre 


5.4.1 Resultados preliminares 

Começaremos destacando a importância de que na escolha de elementos 7 E RQn, os 
escolhidos sejam geradores do grupo RQn, pois do contrário veremos que o PRSAF pode 
ser facilmente resolvido para a instância ( N , 7 ). A condição para que 7 seja um gerador desse 
grupo é dada pelo resultado a seguir. 


Lema 5.1. Seja N = PQ produto de dois primos seguros e seja 7 E RQn- Então 7 é gerador de 
RQn se, e somente se, mdc(y— 1, V) = 1. 

Demonstração. Faça P = 2p+l e Q = 2q+1, com peq primos distintos. Pelo teorema chinês 
dos restos, a aplicação yr(y) = (y p , y q ) = (7 (mod P), 7 (mod Qj) define um isomorfismo entre 
RQn e RQp x RQq. Sejam o(y p ) e o(y q ) as ordens de y p e y q em RQp e RQq, respectivamente. 
Temos 


Yp e RQp => o(y p ) \ o(RQ P ) = p => o{y p ) e{l,p}. 

Analogamente, o{y q ) E {1, < 7 }. Assim, 

o{y) = o(y p )o(y q ) Í {1 ,p,q,pq}- 

Um elemento yERQN é gerador de P<2 a? se, e somente se, 0 ( 7 ) = \RQn\ = |7?ôp|.|7?ôg| = pq. 
Seja d — mdc(y— 1, V). Devemos provar que 0 ( 7 ) = pq se, e somente se, d = 1. Como d \ N, 
temos d E {l,p,q,pq}. Vamos analisar cada caso: 

( 1 ) d = P 

Como d = mdc(y— 1, N) e N — PQ, então P \ y— 1 e teremos y p — 7 (mod P ) = 1. Assim, 
0 ( 7 ) = o(y p )o(y q ) = o(y q ) E {1, < 7 } e 7 não pode ser gerador de RQn- 

(2) d = Q 

Este caso é análogo ao anterior. 

(3) d = PQ 

Nesse caso, d — N e, como d \ 7 — 1, teremos 7=1 em Z* N . Assim 7 não pode ser gerador 
de RQn- 

Portanto, d — mdc{y— 1, N) = 1 é condição necessária para que 7 seja gerador de RQn- 

Por outro lado, se 7 não é gerador de RQn, teremos 0 ( 7 ) = o(y p )o(y q ) 7 ^ pq. Assim, 
o{y p ) = 1 ou o{y q ) = 1. Caso ocorra o{y p ) = 1, então 7 (mod P) = y p — 1. Portanto, P | 7 — 1 
e, como P | V, teremos mdc(y— 1 ,N) ^1.0 caso em que o(y q ) = 1 é análogo. 

□ 

Agora veremos como se pode resolver o PRSAF quando 7 não é gerador de PQív- Dados 
N = PQ e 7 e RQn, calculamos d — mdc(y— 1 ,N). Como d ± 1, temos três casos a considerar: 
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(1) d — N = PQ 

Teremos d | 7 — 1 e assim y = 1 (mod N ). Então £, = 1 e e = 3, por exemplo, são tais que 

£ e = y- 

(2) d = P 

Calculamos <p(N) — (P — l)(Q — í) = (d — 1 )(N/d — 1 ). Fazendo í, = yee — <p(N) + 1 , 
teremos £, e = y^W +1 = y < H iV ).y = 7 (mod A). 

(3) d — Q 

Este caso é análogo ao anterior. 


Um outro resultado importante para a demonstração do Teorema 5.1 é dado a seguir: 


Lema 5.2. Sejam G um grupo cíclico finito e 7 um dos seus geradores. Seja Y (v) = y v 
a distribuição obtida escolhendo-se ve {0,1,.. ,,B - 1} uniformemente ao acaso. Então a 
distância estatística entre Y e a distribuição uniforme sobre G é no máximo \G\/2B. 


Demonstração. Seja v e {0,1,... ,B— 1}. Como yé gerador de G, temos G= {1, 7 ,.. 1 } 

e 'f — Y se, e somente se, v = i (mod |G|). Assim, 


P[f = Y] = P[v=i (mod |G|)1 = [(fi ^ )/|G|1 

pois, dado i e {0,1,..., |G| — 1}, a quantidade de elementos ve {0,1,.. .,B — 1} tais que 
v = i (mod |G|) é \(B — i)/\G{], Nesse caso, dado i e {0,1. |G| — 1}, temos 


r b-í] 

1 

\G\ 

~W\\ 

\ B-r 

1 B 

\ \G\ 

m 


1 

< - 
“ B 


pois, como temos 0 < < y§y + 1 e assim | -^| < 1 . 

Finalmente, a distância estatística entre Y e a distribuição uniforme U sobre G é 
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T |G|-1 

A (Y,u)=- Y, W = i]-P[u = i}\ 
Z í—0 

llGh 1 ! J I 

= ~ I K = 

z i =0 I I o ! I 

1 |G| — 1 i 

<- y - 

- ? fi 


M 

2B 


□ 

Assumir que a f a mília {h^Ne./V não é pseudo-livre, equivale a assumir a existência de um 
algoritmo de tempo polinomial probabilístico st que, sob a entrada N e ^V(k) e elementos 
a : A —> RQn (A de tamanho polinomial \A\ = p(k)), escolhidos aleatoriamente, produz uma 
equação E : vtq = W 2 , com conjunto de variáveis X, que não pode ser satisfeita sobre o grupo 
livre ^(A), juntamente com uma solução % : X —> Z,* N para E a sobre o grupo Z,* N . 

Dado a e A, escolha v a G {0,..., B — 1} (onde B — N\A\X) com distribuição de probabilidade 
uniforme, onde X — X(k) é uma função super-polinomial de k, e faça oc(ci) = . Pelo 

Lema 5.2, a distância estatística entre a distribuição a e a uniforme sobre RQn é no máximo 
\RQn\/2B = \RQn\/2N\A\X < 1 /\A\X. Como os valores de a{a) são independentemente 
escolhidos, segue que 

A(«,t/) = Í£|í*[x = «(«)]-^ = o]| 

Z a£A 

< I y J_ 

i 

“ 2Ã' 


5.4.2 Prova do teorema principal 

Como dito anteriormente, a prova do Teorema 5.1 será divida em algumas etapas. Vimos 
alguns resultados que serão utilizados durante a demonstração. De agora em diante vamos 
assumir que a família Zpj*, com N e JV não é pseudo-livre. Veremos então como essa hipótese 
leva à solução do PRSAF sobre RQn- A redução será feita em dois passos: 
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5.4.2.1 Primeiro passo da redução 

Transformar E : w\ = W 2 em uma nova equação E' com apenas uma variável e que também 
não possa ser satisfeita sobre o grupo JP(A) e transformar a solução E, de E a em uma solução 
% Para E' a . 


Lema 5.3. Dado um grupo computacional G, existe um algoritmo de tempo polinomial que, 
tomando como entrada uma equação E (com conjunto de constantes A e de variáveis X) e uma 
atribuição de valores E, : X —> G, produz uma equação de uma variável E' a e um elemento E,' e G 
tal que 

(i) se E não é satisfatível sobre o grupo livre éP(A), então o mesmo ocorre com E'. 

(ii) para qualquer atribuição a : A —> G, se E, é solução de E a , então Ef é uma solução de E' a . 

Demonstração. Fixe G,E e E, como no enunciado. Vamos assumir, sem perda de generalidade, 
que E é dada na forma canônica E : Wxex* 6 * = TlaeA a<i " ■ Utilizando o algoritmo euclideano 
estendido podemos calcular e = mdc(e x : x e X) e inteiros b x tais que fExex bxtx = e. Defina a 
saída do algoritmo como sendo 

£':*•= nA r=níww«. 

a£A x<=X 

Devemos provar que E' e Ef satisfazem às propriedades (i) e (ii). 


(i) Assuma que E' tem uma solução 5' e ^(A). Temos (õ') e = YlaeA a<ía ■ Para v e X defina 
8(x) = ( 8') b *. Assim, 

n s(x) e ■ = n (s’) bA = = (Sr = n «*, 

xex xex aeA 

ou seja, E seria satisfatível sobre & (A), contrariando a hipótese. 

(ii) Fixe a:A-»Ge suponha que E, : X —>• G é uma solução para a equação E a . Temos 
n,-v ÇÚ)' 1 = TheA aiaf L ‘ em G. Então 


(<rr = (n = n ? w'- = n «(«)''«• 

\xex / x€X aeA 

Portanto, Ef é uma solução de E' a sobre G. 


□ 
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5.4 O grupo RSA é pseudo-livre 


5.4.2.2 Segundo passo da redução 

Usar a equação E' e a solução de E' a para resolver o PRSAF sobre RQ (PRSAF-RQ). 


A equação E' : x e = n a<la terá solução sobre o grupo livre & (A) se, e somente se, e divide 

a€A 

d = mdc(d a : a £ A). Como E não deve ser satisfeita sobre & (A) devemos assumir, devido ao 
Lema 5.3, que e \ d. Sendo a{a) = , temos 

(ÊT = n <*(«)*■ = n r- d -= 

aeA aeA 

Caso seja necessário, trocaremos por {B,')~ x e 7 por y _1 (isto equivale a trocar o sinal de e e 
de todos os d a , respectivamente), de modo que tenhamos e > 0 e d — £ aeA v a d a > 0 . 

Fixaremos nossa atenção em e e em mdc(e, pq) e veremos como resolver o PRSAF sobre 
RQn, assumindo a HRSAF e que não é pseudo-livre. Precisaremos de mais dois 

lemas: 


Lema 5.4. Dados a : A — > Zjv, e — 0e {d a : a £ A} tal que e \ mdc(d a : a e A), a probabilidade 
condicional de que ocorra d — 0 é de pelo menos 1/2. 

Lema 5.5. Dados a, mdc(e, pq) = 1 e {d a : a e A} tais que e \ mdc(d a : aeA), a probabilidade 
condicional de que e divida d é no máximo 2/3. 


Podemos agora completar a redução: 

Lema 5.6. Se {^}Ne,yV °ão é pseudo-livre, então o PRSAF sobre RQn pode ser resolvido. 


Demonstração. Assuma que {Zjv};v eiA / não é pseudo-livre. Dado N £ JV , existe um algoritmo 
de tempo polinomial srf que produz uma equação E : Ylxex* 6 * = HaeA ad “ insatisfatível sobre 
^{A) (onde A é um conjunto de tamanho polinomial \A\ = p(k)) e uma solução t, : x^ia n 
para E a . Pelo Lema 5.3 obtemos, a partir de £ e de uma equação E ’: x e = W a cA ad “> em 
uma variável, insatisfatível sobre & (A), juntamente com uma solução £ Z* N de E' a . 

Dado aeA, escolhemos v a £ (0,1, • • • .N A\X — 1} uniformemente ao acaso e fazemos 
a (a) = y 1 '", onde y é um gerador de RQn- Vimos antereiormente que podemos assumir que 
e>0 e d = £ aeA v a d a > 0. Vamos analisar os diversos casos que podem ocorrer, dependendo 
dos valores de e e mdc(e, pq). 


Caso 1: e^Oe mdc(e,pq) — pq. 

Temos pq \ e e, como o(y) = pq, segue que = Y -7= 7 (mod N). Assim, (y,e+ 1) é uma 
solução para a instância (Aí, y) do PRSAF-RQ. 
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5.4 O grupo RSA é pseudo-livre 


Caso 2: e Y 0 e mdc(e , pg) e {p,q}. 

Temos o(y e ) = pq/mdc(e, pq) e {/?, <:/}. Assim, Y não é gerador de RQn e, pelo Lema 5.1, 
mdc(Y — \,N) Y 1 . Além disso, como o{Y) Y 1, temos Y 7 ^ 1 (mod V) e assim A \ Y — 1, o 
que nos dá mdc{Y — 1, AT) Y N. Como A = PQ, segue que g = mdc(Y — 1, AT) £ {P, 2}. Com 
isso podemos calcular 


<KA0 = (P- l)(ô - 1) = (g-\)(N/g-\). 

Então y < ^( iV ) +1 = y^W.y = y (mod V), o que resolve o PRSAF-RQ para a instância (V, 7 ). 
Caso 3: e = 0. 

Pelo Lema 4, d — 0 com probabilidade pelo menos 1/2. Como (<í;') e = Ma _ ^ temos 

/ +1 =/-r= (S')°-r= y 

com probabilidade pelo menos 1/2. Assim, teremos uma probabilidade não desprezível de 
resolver o PRSAF-RQ para a instância ( N , 7 ). 

Caso 4: mdc(e,pq) = 1. 

Pelo Lema 5, existe uma probabilidade de no máximo 2/3 de que e divida d. Assim, a 
probabilidade de ocorrer e \ d é de pelo menos 1/3. Vamos construir recursivamente um 
algoritmo que, tomando ( 7 , E,,e,d) como entrada, onde 

= e^O, e\d, 

produz uma saída ( 6,c,h ) tal que 

e c h+x = f\ |c| > 2, c h+1 \e, c h I d 

ehéo menor possível. 

Observamos que, nessas condições, 8 = ( G c / y) c é um resíduo quadrático módulo N: 

• Para c par faça c = 2 r(r e Z). Temos B c = ( 6 r ) 2 e RQn- Como y e P<2 at, segue que 

( e c /ff M ^RQ N . 

• Para c ímpar faça c h+1 = 2r + 1 (r e Z). Obtemos 6 ch+l = (0 r ) 2 0. Assim, 6 e P<2 jv se, 

e somente se, 0 ■ e P( 2 v. Como 0 C ' A+I = y^ e Pg#, temos 0 e RQn- Portanto, 8 e Pg^. 


Caso tenhamos 0 C = 7 , então (0,c) é uma solução para a instância (V, 7 ) do PRSAF-RQ. 
Dessa forma, vamos assumir que 0 C Y 7- Como (0 c /y) c = 8^ +l /Y^ = 1 e A é o menor 
possível, temos 5 = (0 c /y) c _1 7 ^ 1. Vamos mostrar como resolver o PRSAF-RQ para os 
possíveis valores de 8. 
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5.4 O grupo RSA é pseudo-livre 


• 8 é gerador de RQn- 

Como ô c = ( 6 C /y) c = 1, segue que o(â) | c. Sendo 7 gerador de RQn, temos 0 ( 7 ) = 0 ( 8 ). 
Assim, Y = 1 e 7 C+1 = 7 . Portanto (y,c + 1) resolve o PRSAF-RQ. 

• 8 não é gerador de RQn : 

Pelo Lema 1, mdc {8 — l,N) Y 1- Como 5^1, temos também mdc {8 — l,N) Y N. Assim, 
g = mdc(5 - 1 ,N)e{P, Q}. Podemos calcular = (P - l)(Q - 1) = (g - l)(iV/g - 1). 
Como antes, ( 7 , 0(AT) + 1) resolve o PRSAF-RQ. 

Para concluir a prova de que se { Zn}nçjy não é pseudo-livre, resolvemos o PRSAF-RQ 
resta construir o algoritmo que produz ( 6, c, h). 


Descrição do algoritmo A( 7 , Ç.e.d): 

• Se d\e, calcule d\ — mdc(e : d) e inteiros res comdi = er+ds. Chame A( 7 , E, s Y,^,di). 

• Caso contrário (isto é, d \ e), calcule c = e/d. 

— Se d = c h é potência de c, retorne (£, c, h) 

- Caso contrário, seja h o maior expoente tal que c h \ d. Chame A( 7 , ^ d / c ,c h+l ,d). 

Devemos provar que o algoritmo A funciona corretamente e que d ou e decresce a cada 
iteração. Lembramos que a entrada ( 7 , £, e, d) deve satisfazer às condições 

= e^O, e\d. 

• Caso d \ e: 

Fazendo £1 = E, S Y, e\ = e e d\ — mdc(e,d), temos 

ir=(iYr=(i e )Y'=r + *=/' 

Além disso, e\ = e Y 0 e, como e\d, temos e\\d\. Se d — d\, d — d\ — mdc(e,d ) | e, o que 
não pode ocorrer. Assim d\ < d, o que garante que o algoritmo pára. 

• Caso d | e e d — c h : 

Inicialmente devemos verificar se o quociente c = e/d está definido, o que ocorre se d Y 0. 
Caso seja d — 0, teremos e\d,o que é proibido por hipótese. Temos ainda \c\ > 1, pois e Y 0 
e e \ d. Nesse caso o algoritmo termina com saída 0(— Ç),c,h. Além disso, a saída satisfaz às 
condições estabelecidas, pois 

Q ch+1 = ( Q ch ) c = Ç dc = Ç e = / = f h . 

• Caso d | e e d não é potência de c: 

Faça c = e/d. Novamente, temos d Y 0 e, como |c| > 1, podemos calcular h — max{j : c 7 | d}. 


45 



5.4 O grupo RSA é pseudo-livre 


Assim d/c h é inteiro. O algoritmo será chamado recursivamente com entrada (y.E,\,e\,d\), 
onde = <f; á / c \ e\ = c h+l cd\—d. Assim, 

ÇÇI — çdc h+ 1 /c h _ gdc _ _ yd _ yl x _ 

Como h é o maior expoente tal que c h \ d, temos c h+l \ d. Assim, e\ \ d\. Finalmente, se 
e\ = e, teríamos c h = e \/c = e/c = d, ou seja, d seria potência de c (o que não pode ocorrer, 
por hipótese). Portanto, e\ < e e o algoritmo deve parar. 

Isto conclui a prova do Teorema 5.1. Assim, a família ^ é pseudo-livre. □ 


Vimos neste capítulo que a família de grupos {Z^} We<y >/, onde N é produto de primos 
seguros, é pseudo livre. Dessa forma, fica evidenciada a importância dessa classe de números 
primos para a criptografia RSA. 

No capítulo seguinte estudaremos em mais detalhes os primos seguros. Veremos algumas 
de suas principais propriedades, além de alguns algoritmos para geração de tais números. 
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Capítulo 6 


Primos seguros 


A vida é ou uma aventura audaciosa, ou não é nada. 
A segurança é geralmente uma superstição. 

Ela não existe na natureza. 

- HELENKELLER 


6.1 Introdução 

Vimos no capítulo anterior que utilizar primos seguros (ou primos fortes) é de fundamental 
importância para obter um esquema criptográfico RS A seguro. Existem algoritmos de fatoração, 
como o Pollard p- 1, que pressupõem que o número a ser fatorado possui um fator primo p tal 
que os fatores primos de p - 1 são pequenos. Sendo p ímpar, 2 é um fator de p- 1. Podemos 
adotar o “caso extremo” que é tomar (p - l)/2 primo. 

Em matemática esses números são conhecidos como primos de Sophie Germain. Sua 
importância para a matemática deve-se, em parte, à sua relação com o Último Teorema de 
Fermat (UTF). A afirmação que x n +y n = z n , com n \xyz, não tem solução em inteiros positivos 
é conhecida como o primeiro caso do UTF. Aproximadamente no ano de 1825 Marie-Sophie 
Germain provou o seguinte resultado: 


Teorema 6.1 (Sophie Germain). Seja q um primo ímpar. Suponha que existe um primo p tal 
que: 

i) xfl +y q + z? = 0 (mod p) x = 0 (mod p) ouy = 0 (mod p) ouz = 0 (mod p), 

ii) x q = q (mod p) não tem solução. 

Então xd + y q = z q (com q \ xyz) não tem solução inteira. 

É possível provar que as hipóteses desse teorema são satisfeitas se q = 2p + 1. Assim, os 
primos da forma 2p + 1, com p primo, ficaram conhecidos como primos de Sophie Germain. 

Antes desse teorema, foram provados apenas casos isolados do UTF. Sua importância reside 
no fato deste ter sido o primeiro resultado de caráter geral sobre o UTF. A prova do UTF por A. 
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6.2 Algoritmos para a geração de primos seguros 


Wiles em 1995 fez com que diminuísse um pouco o interesse (em matemática) por esses primos. 

Não se sabe se existem infinitos primos seguros. Entretanto, argumentos heurísticos e 
evidências numéricas indicam a existência de infinitos primos dessa forma [54], Conjectura-se 
que o número de primos seguros menores que um dado inteiro N >2é assintoticamente igual a 

2c r dx - 2cn 

J2 lnxln (2x+1) (ln V) 2 ’ 

onde C = n tttI — 0.6601618158 e o produto é tomado sobre todos os primos q > 2. 

q> 2 19 > 

A estimativa dada por essa integral é surpreendentemente precisa como pode ser visto na 
tabela a seguir: 


N 

Valor correto (Vc) 

Valor estimado (Ve) 

Erro = 100% x | V c - Ve|/V c 

10 8 

37 

39 

5,41 

10 4 

190 

195 

2,63 

10 5 

1.171 

1.166 

0,43 

10 6 

7.746 

7.811 

0,84 

10' 

56.032 

56.128 

0,17 

10 8 

423.140 

423.295 

0,04 

10 9 

3.308.859 

3.307.888 

0,03 

10 iU 

26.569.515 

26.568.824 

0,003 

“íõ 11- 

218.116.524 

218.116.102 

0,0002 


Tabela 6.1 Primos seguros entre 2 e 10^ 


6.2 Algoritmos para a geração de primos seguros 

Nesta seção assumiremos que é dado um algoritmo A que fornece primos. Sua entrada 
será o número k de bits do primo a ser gerado e sua complexidade será denotada por f(k). 
Estudaremos alguns algoritmos que, utilizando A, produzem primos seguros. Iniciaremos com 
um algoritmo ingênuo e faremos sucessivos refinamentos até obter um algoritmo baseado na 
Lei de reciprocidade quadrática e em um teorema de Euler e Lagrange sobre primos seguros e 
números de Mersenne. De início observamos que primos seguros são de uma forma especial: 


Teorema 6.2. Se p > 3 e q = 2p + \ são ambos primos, então p = 2 (mod 3). 
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6.2 Algoritmos para a geração de primos seguros 


Demonstração. Como p> 3, temos p = 1 (mod 3) ou p = 2 (mod 3). Se p = 1 (mod 3), então 
q — 2p + 1 = 0 (mod 3), ou seja, q — 3. Isto não pode ocorrer, pois q> p> 3. Assim, tem-se 
p = 2(mod3). □ 


6.2.1 Algoritmo ingênuo 

Vamos assumir que A produz apenas primos p = 2 (mod 3). O algoritmo mais óbvio para 
geração de primos seguros é dado por: 


Algoritmo Ingénuo 
Entrada k: inteiro positivo 
Saída p : primo seguro com k bits 

1 faça 

2 p <- A {k) 

3 enquanto (p— l)/2 é composto 

4 devolva /? 
fim 


Algoritmo 1 Geração de primos seguros: Algoritmo ingênuo 

Sabemos, pelo teorema dos números primos, que a quantidade de primos que não excedem 
N é aproximadamente N/lnN. Então a probabilidade de que um inteiro de k bits, escolhido 
aleatoriamente, seja primo é dada por 

m 1 ( 2 k 2*- 1 \ _ 4 2 ^2 

PÚ ’ 2 k ~ 2 \k\n2 {k— l)ln2/ k\n2 (k- l)ln2 /tln2’ 

pois o intervalo contendo esses primos tem comprimento 2 k ~ l —2 k ~ 2 = 2 k ~ 2 . Isto significa 
que, no pior caso, encontramos um primo a cada A1 n 2 execuções de A. Como (p - 1)/2 
tem algo em torno de k - 1 bits, a complexidade do algoritmo 1 pode então ser avaliada em 
aproximadamente 


Ci(k) = 


m 

pi(k- 1) 


f(k)k\n2 

2 


6.2.2 Reduzindo a complexidade por um fator 2 

O algoritmo da seção anterior verifica se um dado primo p é seguro. Uma simples mudança, 
proposta por D. Naccache [34], verifica a cada execução de A se p e 2p + 1 são seguros: 
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6.2 Algoritmos para a geração de primos seguros 


Algoritmo Dupla_vdocidade 

Entrada k : inteiro positivo 

Saída p: primo seguro com k ou k + 1 bits 

1 faça 

2 p <— A(fc) 

5 enquanto (p - l)/2 e 2p + 1 são compostos 

4 se (p — l)/2 é primo então 

5 devolva p 
d senão 

7 devolva 2p+l 
S fim se 
fim 


Algoritmo 2 Geração de primos seguros: Dupla_velocidade 


A probabilidade de que (p — l)/2 ou 2p + 1 seja primo é 


p 2 (£) = 1 - {l-pi(k-l))(l-pi(k+ 1)) ~ 2 pi(k), 

desde que o algoritmo A gere primos com l e / + 1 bits com aproximadamente a mesma 
probabilidade. Agora podemos estimar a complexidade do algoritmo 2: 


C 2 (k) = 


m 

2p x {k) 




6.2.3 Um crivo combinado 

Vimos na seção 6.2.1 que os candidatos a primos seguros p devem satisfazer à condição 
p = 2 (mod 3). Caso contrário, p = 1 (mod 3) e, sendo /? ímpar, (p — l)/2 seria múltiplo de 3. 
M. J. Wiener mostrou como se pode acelerar ainda mais o processo de obtenção de primos 
seguros [49]: 

Sejam per primos ímpares, com r < p. Se p = 1 (mod r), então (p— 1) /2 = 0 (mod r) e, 
caso ocorra p = (r — l)/2 (mod r), então q = 2p + 1 = 0 (mod r). Modificamos o algoritmo 
A para que elimine os candidatos que são congruentes a 1 ou (r — l)/2 módulo r para todos 
os primos r<B, onde B é uma constante pré-fixada. 

Finalmente, para os primos sobreviventes, usamos o algoritmo 2 para dobrar a chance de 
sucesso. 
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6.2 Algoritmos para a geração de primos seguros 


6.2.4 Um teorema de Euler e Lagrange 

O teorema a seguir, enunciado por Euler em 1750 e provado por Lagrange em 1775, será 
utilizado para aumentar a eficiência na geração de primos seguros: 

Teorema 6.3 (Euler - Lagrange). Seja p = 3 (mod 4) um primo. Então q = 2p+l é primo 
se, e somente se, q divide o número de Mersenne M p = 2 P — 1. 

Demonstração. Suponha que q é primo. Como p = 3 (mod 4), podemos escrever p = 4a + 3 
para algum inteiro a. Temos q = 2p + 1 = 8a + 7 e daí q 2 - 1 = 0 (mod 16). Calculando o 

símbolo de Legendre de 2 módulo q, encontramos (j^ = (—l)^r^ = 1. Assim 2 é resíduo 
quadrático módulo q e existe um inteiro c tal que c 2 = 2 (mod q). Portanto, 

2 P = 2^ = (c 2 ) 3 ^ = c q ~ l = 1 (mod q ), 
pois c é primo com q. Segue que M p = 2 P —1=0 (mod q), ou seja, q divide M p . 


Por outro lado, assuma que q divide M p . Se q não for primo, seja r seu menor fator primo. 
Temos r 2 < q. Como r divide q e q divide M p , temos 2 P = 1 (mod r). Assim, a ordem de 2 
módulo r divide p. Como 2^1 (mod q), a ordem de 2 módulo r é igual a p. Pelo PTF, temos 
2 r ~ x = 1 (mod r) e a ordem de 2 módulo r divide r — 1, ou seja, p divide r — 1. Assim, p < r. 
Segue que p 2 < r 2 < q = 2p + 1. Mas 

p 2 <2p+í ^ p 2 — 2p + l<2^p — 1 < \Í2 =^p< Í + V2^p = 2. 

Essa contradição mostra que q = 2p + 1 é primo. □ 


Podemos utilizar o teorema de Euler-Lagrange para acelerar o processo de obtenção de 
primos seguros: 


O preço que se paga por isso é descartar todos os primos p = 1 (mod 4) e com eles, 
possivelmente, algum primo seguro q = 2p + 1. Isto ocorre, por exemplo, com p = 41 e 
4 = 83. 

As condições p = 3 (mod 4) e p = 2 (mod 3) equivalem, pelo TCR, a p = 11 (mod 12). 
Dessa forma, podemos nos concentrar nos primos da forma p = 12a +11. 

O ganho está no teste de primalidade para 2 p + 1. Devemos apenas verificar se 2p + 1 
divide M p , ou seja, se vale a relação 2 P = 1 (mod 2p + l). 
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6.2 Algoritmos para a geração de primos seguros 


6.2.5 Utilizando resíduos quadráticos 


Sejam p e q primos ímpares com q — 2p + 1. Como 



q é resíduo quadrático módulo p. A lei de reciprocidade quadrática de Gauss estabelece uma 
relação entre os símbolos de Legendre e 


© = © ( - 1)<£ftí ^ 

Sabendo que = 1, podemos determinar (j^j: 

(£) = ( -i)(A„^) = ( — 1 )^ = ( _i)A. 

Com a intenção de manter os resultados obtidos na seção anterior, assumiremos p = 3 (mod 4). 
Temos (p - l)/2 = 1 (mod 2) e assim = -1. Nesse caso, p não é resíduo quadrático 
módulo q. Com essa nova informação construiremos um algoritmo mais eficiente para a 
geração de primos seguros: 

Dado um primo p, eliminamos (p — l)/2 se este for resíduo quadrático módulo p, sem 
que seja necessário testar sua primalidade. 

Existem algoritmos bastante eficientes para o cálculo de j, com p primo, que têm custo 
significativamente mais baixo que testar primalidade [7]. 


6.2.6 Um novo algoritmo 

Nesta seção combinaremos os algoritmos e teoremas das seções anteriores, produzindo 
assim um novo algoritmo para a geração de primos seguros. A característica principal desse 
algoritmo é o fato de que, sob certas circunstâncias, é possível evitar os testes de primalidade 
(com seus altos custos computacionais), utilizando o teorema de Euler-Lagrange e a Lei de 
reciprocidade quadrática. 

Inicialmente assumimos que é dado um algoritmo A que produz primos p, de k bits, com 
p = 3 (mod 4), p (mod r) ^ 1 e p (mod r) ^ (r — l)/2 para todo primo r <B, onde B é uma 
constante pré-fixada (ver seções 6.2.3 e 6.2.4). O algoritmo a seguir, batizado de ELRQ (por 
utilizar o Teorema de Euler-Lagrange e a Lei de reciprocidade quadrática), sintetiza as idéias 
estudadas neste capítulo: 
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Algoritmo ELRQ 

Entrada k : inteiro positivo 

Saída p: primo seguro com k ou k + 1 bits 

1 faça 

2 p <— A(fc) 

5 r^2 p (mod 2p + 1) 

4 enquanto r^le^ = 1 ou kzl é composto j 

5 se r=l então 

6 devolva 2p+l 

7 senão 

8 devolva p 

9 fim se 
fim 


Algoritmo 3 Geração de primos seguros: ELRQ 


Algumas observações devem ser feitas a respeito da linha 4 do algoritmo ELRQ: 

• Caso a condição r = 1 seja satisfeita, o Teorema de Euler-Lagrange assegura a primalidade 
de 2p + 1 que será, portanto, um primo seguro. 

• É importante testar a condição — 1 antes de verificar se (p— l)/2 é primo. Se 

essa condição for verdadeira, o número (p— 1 )/2 será descartado sem que seja necessário 
testar sua primalidade. 
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Capítulo 7 

Conclusão e trabalhos futuros 


7.1 Conclusão 

Há muito a criptografia ganhou “status” de ciência. Entretanto, sua consolidação como 
tema relevante na nossa sociedade só ocorreu quando a comunicação segura entres entidades 
dos mais variados setores tornou-se indispensável. Embora nem sempre se perceba, lidamos 
com criptografia quase todo o tempo. Quando acessamos nossa conta bancária, quando fazemos 
compras com cartão de crédito ou, simplesmente, acessando alguns sites na internet, diversos 
esquemas criptográficos são acionados para garantir a privacidade de nossas ações. 

Infelizmente, nenhum esquema criptográfico é totalmente seguro. Precisamos garantir 
que, mesmo dispondo de poderosos recursos computacionais, um adversário não terá sucesso 
(pelo menos probabilisticamente) em decifrar mensagens que não lhe são destinadas. As 
hipóteses baseadas em problemas computacionalmente difíceis são a garantia (teórica) de que 
estamos razoavelmente seguros. O surgimento do conceito de grupos pseudo-livres traz consigo 
uma nova e mais geral maneira de lidar com quesões relativas à segurança de criptossistemas 
assimétricos. 

Sabe-se, há algum tempo, que a utilização de primos seguros é um pré-requisito importante 
para a segurança do RS A. O teorema de Micciancio torna ainda mais evidente essa necessidade. 
Assim, a busca por algoritmos eficientes para a geração de primos seguros está fortemente 
associada à utilização do RSA. O algoritmo ELRQ por nós proposto é uma alternativa eficiente 
para a geração de primos seguros. 


7.2 Problemas em aberto 

No contexto de grupos pseudo-livres algumas questões importantes permanecem sem 
resposta como, por exemplo: 

• Existem outros grupos pseudo-livres além de h^, onde N é produto de dois primos 
seguros? 

Dos diversos tipos de grupos que são utilizados em criptografia, até o presente momento 
apenas um é reconhecido como sendo pseudo-livre. Isto limita muito o raio de aplicação 
das hipóteses de segurança estabelecidas por esse conceito. 
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7.3 Trabalhos futuros 


O resultado de Micciancio permanece válido se N não é produto de primos seguros? 

Uma resposta afirmativa para esse problema permitiria que fosse utilizada uma classe 
de números primos maior que a classe dos primos seguros em criptografia RSA. 


Pode-se deduzir que Z* N é pseudo-livre assumindo que fatorar é difícil ao invés de assumir 
que o problema RSA forte é difícil? 

A importância de uma resposta afirmativa para esse problema reside no fato que muitos 
sistemas criptográficos tomam como hipótese de segurança o problema da fatoração de 
inteiros que é considerado computacionalmente difícil. 


7.3 Trabalhos futuros 

Possíveis continuações no estudo do tema “grupos pseudo-livres” poderiam dar-se em duas 
frentes: 

• Teórica: Busca por novos exemplos de grupos pseudo-livres. Dentre os principais 
exemplos de grupos utilizados em criptografia estão os grupos de curvas elípticas sobre 
corpos finitos e uma versão do resultado de Micciancio para tais grupos seria de grande 
importância. 

Um outro ponto importante seria a busca por grupos pseudo-livres não abelianos (isto é, 
não comutativos), uma vez que a não comutatividade oferece uma dificuldade adicional 
para a quebra de criptossistemas sobre grupos não abelianos. 

• Prática: Busca por algoritmos eficientes para a geração de primos seguros, uma vez que 
os únicos grupos pseudo-livres conhecidos até o presente momento têm como base tais 
números primos. 
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